בדיוק גיליתי פגיעות חדשה שמשפיעה בדרך כלל על כל הסמארטפונים עם Android. זה מאפשר לאתר זדוני להכניס את כל הקבצים המאוחסנים בכרטיס זיכרון SD לטלפון הנייד. יתר על כן, כשל אבטחה זה גם משאיר נתונים וקבצים אחרים המאוחסנים בטלפון הנייד ללא הגנה.
מומחה האבטחה תומאס קנון גילה את הפגיעות הזו ומסביר בבלוג שלו שהיא תוצאה של תערובת של גורמים. ראשית כל, דפדפן האינטרנט אנדרואיד אינו מודיע למשתמש בעת הורדת קובץ, אלא עושה זאת באופן אוטומטי. באמצעות סקריפט Java ניתן לפתוח קובץ זה באופן אוטומטי להצגת הדפדפן. כאשר קובץ HTML נפתח בהקשר מקומי זה, דפדפן Android מבצע את הסקריפט מבלי להתריע בפני המשתמש. בדרך זו, סקריפט Java יכול לקרוא את תוכן הקבצים ונתונים אחרים. ואז התוכןשקראו את סקריפט Java עשוי להיות מנותב לאתר זדוני.
מגבלה אחת של ניצול זה היא שאתה צריך לדעת את השם ואת הנתיב של הקבצים שאתה רוצה לגנוב. עם זאת, כמה יישומי אחסון נתונים בכרטיסי SD מציעים את המידע הזה, והקבצים בכרטיס ה- SD (ועוד כמה בטלפון) נחשפים. תומאס קנון יצר קשר עם קציני האבטחה של Android, הפועלים לתיקון הפגיעות בגרסה 2.3 (Gingerbread). בינתיים, קנון מציעה מספר טיפים לחיבור חור האבטחה.
הדבר הראשון הוא לצפות אם מתרחשת הורדה אוטומטית כלשהי; גם אם אין התראה, זה לא קורה לגמרי בשקט. כמו כן המשתמש יכול להשבית את סקריפטים של Java במסגרת תצורת הדפדפן שלו. מצד שני, דפדפן כמו Opera Mobile מציע הגנה נוספת, משום שהוא מזהיר לפני הורדת קובץ. בנוסף, לחברה חיצונית קל יותר לשחרר באופן מיידי עדכון דפדפן שמתקן פגיעות חדשה ממה שגוגל עושה.
חדשות נוספות אודות… אנדרואיד, גוגל, אבטחה
