Juuri löytänyt uuden haavoittuvuuden, joka yleensä vaikuttaa kaikkiin älypuhelimiin kanssa Android. Sen avulla haitallinen verkkosivusto saa kaikki SD-muistikortille tallennetut tiedostot matkapuhelimeen. Lisäksi tämä suojausvirhe jättää myös muut matkapuhelimeen tallennetut tiedot ja tiedostot suojaamattomiksi.
Turvallisuusasiantuntija Thomas Cannon on havainnut tämän haavoittuvuuden ja selittää blogissaan, että se on seurausta useista tekijöistä. Ensinnäkin Android-selain ei ilmoita käyttäjälle tiedostoa ladattaessa, vaan tekee sen automaattisesti. Käyttämällä Java Script, tämä tiedosto voidaan avata automaattisesti selaimen näyttöön. Kun HTML-tiedosto avataan paikallisessa yhteydessä, Android- selain suorittaa komentosarjan ilmoittamatta siitä käyttäjälle. Tällä tavoin Java-komentosarja voi lukea tiedostojen sisällön ja muut tiedot. Sitten sisältöjotka ovat lukeneet Java-komentosarjan, voidaan ohjata haitalliselle verkkosivustolle.
Yksi tämän hyödyntämisen rajoitus on, että sinun on tiedettävä varastettavien tiedostojen nimi ja polku. Useat SD-kortin tietojen tallennusohjelmat tarjoavat kuitenkin nämä tiedot, ja SD-kortilla olevat tiedostot (plus muutama puhelimessa) ovat alttiina. Thomas Cannon on ottanut yhteyttä Androidin turvallisuusvastaaviin, jotka pyrkivät korjaamaan haavoittuvuuden versiossa 2.3 (piparkakut). Samaan aikaan Cannon tarjoaa useita vinkkejä turva- aukon sulkemiseen.
Ensimmäinen asia on tarkkailla, tapahtuuko automaattista latausta; vaikka ilmoitusta ei olisikaan, se ei tapahdu täysin äänettömästi. Käyttäjä voi myös poistaa Java-komentosarjat käytöstä selaimen asetuksissa. Toisaalta selain, kuten Opera Mobile, tarjoaa lisäsuojauksen, koska se varoittaa ennen tiedoston lataamista. Lisäksi ulkopuolisen yrityksen on helpompi julkaista välittömästi uusi haavoittuvuuden korjaava selainpäivitys kuin Google.
Muita uutisia… Androidista, Googlesta, tietoturvasta
