Zojuist een nieuwe kwetsbaarheid ontdekt die over het algemeen alle smartphones met Android treft. Hiermee kan een kwaadwillende website alle bestanden ophalen die zijn opgeslagen op de SD-geheugenkaart die in de mobiele telefoon is geplaatst. Bovendien laat deze beveiligingsfout ook andere gegevens en bestanden die op de mobiele telefoon zijn opgeslagen, onbeschermd.
Beveiligingsexpert Thomas Cannon heeft deze kwetsbaarheid ontdekt en legt op zijn blog uit dat deze het resultaat is van een combinatie van factoren. Allereerst meldt de Android-webbrowser de gebruiker niet bij het downloaden van een bestand, maar automatisch. Met behulp van een Java-script kan dit bestand automatisch worden geopend zodat de browser het kan weergeven. Wanneer een HTML-bestand in die lokale context wordt geopend, voert de Android- browser het script uit zonder de gebruiker te waarschuwen. Op die manier kan het Java-script de inhoud van de bestanden en andere gegevens lezen. Dan de inhouddie het Java-script hebben gelezen, worden mogelijk omgeleid naar een kwaadwillende website.
Een beperking van deze exploit is dat u de naam en het pad moet weten van de bestanden die u wilt stelen. Verschillende toepassingen voor gegevensopslag op SD-kaarten bieden die informatie echter aan en de bestanden op de SD-kaart (plus een paar op de telefoon) worden weergegeven. Thomas Cannon heeft contact opgenomen met Android- beveiligingsfunctionarissen, die werken om de kwetsbaarheid in versie 2.3 (Gingerbread) op te lossen. In de tussentijd biedt Cannon verschillende tips om het beveiligingsgat te dichten.
Het eerste is om te kijken of er een automatische download plaatsvindt; zelfs als er geen melding is, gebeurt het niet helemaal stil. De gebruiker kan de Java-scripts ook uitschakelen in de instellingen van zijn browser. Aan de andere kant biedt een browser als Opera Mobile extra bescherming, omdat hij waarschuwt voordat een bestand wordt gedownload. Bovendien is het voor een extern bedrijf gemakkelijker om onmiddellijk een browserupdate uit te brengen die een nieuwe kwetsbaarheid repareert dan Google.
Ander nieuws over… Android, Google, beveiliging
