一般的にAndroidを搭載したすべてのスマートフォンに影響する新しい脆弱性を発見しました。これにより、悪意のあるWebサイトは、携帯電話に挿入されたSDメモリカードに保存されているすべてのファイルを取得できます。さらに、このセキュリティ障害により、携帯電話に保存されている他のデータやファイルも保護されなくなります。
セキュリティの専門家であるトーマスキャノンはこの脆弱性を発見し、彼のブログでそれはさまざまな要因の結果であると説明しています。まず、Android Webブラウザー は、ファイルをダウンロードするときにユーザーに通知しません。自動的に通知します。Javaスクリプトを使用すると、このファイルを自動的に開いてブラウザに表示できます。 HTMLファイルがそのローカルコンテキストで開かれると、Androidブラウザーはユーザーに警告せずにスクリプトを実行します。このようにして、Javaスクリプトはファイルやその他のデータの内容を読み取ることができます。次に内容Javaスクリプトを読んだ人は、悪意のあるWebサイトにリダイレクトされる可能性があります。
このエクスプロイトの制限の1つは、盗むファイルの名前とパスを知っている必要があることです。ただし、いくつかのSDカードデータストレージアプリケーションがその情報を提供し、SDカード上のファイル(および電話上のいくつか)が公開されます。Thomas Cannonは、バージョン2.3(Gingerbread)の脆弱性の修正に取り組んでいるAndroidセキュリティ担当者に連絡しました。一方、キャノンはセキュリティホールを塞ぐためのいくつかのヒントを提供しています。
まず、自動ダウンロードが発生するかどうかを確認します。通知がなくても、完全に静かに行われるわけではありません。ユーザーは、ブラウザーの設定内でJavaスクリプトを無効にすることもできます。一方、Opera Mobileのようなブラウザは、ファイルをダウンロードする前に警告するため、追加の保護を提供します。また、Googleよりも、外部の会社が新しい脆弱性にパッチを適用するブラウザアップデートをすぐにリリースする方が簡単です。
その他のニュース… Android、Google、セキュリティ
