刚刚发现了一个新漏洞,该漏洞通常会影响使用Android的所有智能手机。它允许恶意网站获取手机中插入的SD存储卡中存储的所有文件。此外,此安全故障还会使存储在手机上的其他数据和文件不受保护。
安全专家托马斯·坎农(Thomas Cannon)已发现此漏洞,并在他的博客中解释说这是多种因素共同作用的结果。首先,Android Web浏览器 不会在下载文件时通知用户,而是自动通知用户。使用Java脚本,可以自动打开该文件供浏览器显示。在该本地上下文中打开HTML文件时,Android浏览器将执行脚本而不会提醒用户。这样,Java脚本可以读取文件和其他数据的内容。然后内容曾经阅读Java脚本的人可能被重定向到一个恶意网站。
一个利用此漏洞的限制是,你需要知道你想窃取的文件的名称和路径。但是,一些SD卡数据存储应用程序提供了该信息,并且SD卡上的文件(以及电话上的一些文件)已公开。托马斯·坎农(Thomas Cannon)已联系Android安全人员,他们正在努力修复2.3版(Gingerbread)中的漏洞。同时,Cannon提供了一些塞住安全孔的技巧。
首先要注意是否有任何自动下载发生。即使没有通知,也不会完全无声地发生。用户还可以在其浏览器的配置中停用Java脚本。另一方面,像Opera Mobile这样的浏览器提供了额外的保护,因为它会在下载文件之前发出警告。此外,与Google相比,外部公司更容易立即发布修补新漏洞的浏览器更新。
有关…的其他新闻… Android,Google,安全性
