Ho appena scoperto una nuova vulnerabilità che generalmente colpisce tutti gli smartphone con Android. Consente a un sito Web dannoso di ottenere tutti i file archiviati sulla scheda di memoria SD inserita nel telefono cellulare. Inoltre, questo errore di sicurezza lascia anche altri dati e file memorizzati sul telefono cellulare non protetti.
L'esperto di sicurezza Thomas Cannon ha scoperto questa vulnerabilità e spiega sul suo blog che è il risultato di una combinazione di fattori. Prima di tutto, il browser web Android non avvisa l'utente quando scarica un file, lo fa automaticamente. Utilizzando uno script Java, questo file può essere aperto automaticamente per essere visualizzato dal browser. Quando un file HTML viene aperto in quel contesto locale, il browser Android esegue lo script senza avvisare l'utente. In questo modo, lo script Java può leggere il contenuto dei file e altri dati. Poi i contenutiche hanno letto lo script Java possono essere reindirizzati a un sito Web dannoso.
Una limitazione di questo exploit è che devi conoscere il nome e il percorso dei file che vuoi rubare. Tuttavia, diverse applicazioni di archiviazione dati su scheda SD offrono queste informazioni e i file sulla scheda SD (più alcuni sul telefono) vengono esposti. Thomas Cannon ha contattato gli agenti di sicurezza di Android, che stanno lavorando per correggere la vulnerabilità nella versione 2.3 (Gingerbread). Nel frattempo, Cannon offre diversi suggerimenti per chiudere il buco di sicurezza.
La prima cosa è guardare se si verifica un download automatico; anche se non c'è notifica, non avviene in modo completamente silenzioso. L'utente può anche disabilitare gli script Java all'interno delle impostazioni del proprio browser. D'altra parte, un browser come Opera Mobile offre una protezione aggiuntiva, perché avvisa prima di scaricare un file. Inoltre, è più facile per una società esterna rilasciare immediatamente un aggiornamento del browser che corregge una nuova vulnerabilità rispetto a Google.
Altre notizie su… Android, Google, Sicurezza
