Den britiske IT-sikkerhetseksperten Thomas Cannon skriver i et blogginnlegg at han har oppdaget en sårbarhet i nettleseren som følger med Android. Sårbarheten kan gjøre det mulig å stjele data som ligger på minnekortet til Android-enheten dersom brukeren besøker en spesielt utformet webside.
Websiden kan, ved hjelp av JavaScript og svakheter i Androids nettleser, sende innholdet i filer på minnekortet tilbake til webserveren som brukeren besøker. Den eneste svakheten ved opplegget ser ut til å være at angriperen må gjette seg fram til hva filene heter og hvor på kortet de ligger. Sårbarheten berører i alle fall Android 2.2.
En video hvor sårbarheten demonstreres, finnes her.
Cannon forklarer delvis hva svakheten skyldes i dette blogginnlegget, men han har avtalt med Google at ikke alle detaljer bør offentliggjøres ennå.
Han skryter av Android Security Team som skal ha svart på henvendelsen hans etter mindre enn 20 minutter. Cannon har senere blitt fortalt at en sikkerhetsfiks vil følge med en vedlikeholdsutgivelse som skal gis ut etter at neste Android-versjon, «Gingerbread», har blitt tilgjengelig. En foreløpig sikkerhetsfiks skal allerede være laget.
Cannon skriver at han ikke ville ha omtalt sårbarheten dersom en sikkerhetsfiks blir gjort tilgjengelig innen rimelig tid. Men selv om Google har vært raske, kan det fortsatt ta måneder før denne sikkerhetsfiksen rulles ut til de mange ulike Android-enhetene. Det er opptil den enkelte mobilleverandør eller mobiloperatør å tilby Android-oppdateringer til mobilene. Enkelte leverandører gjør dette relativt hyppig, mens andre virker ganske motvillige.
Google kommer til å gi ut Gingerbread-utgaven av Android innen noen få uker, men det er lite sannsynlig at andre enn Nexus One-brukerne vil kunne ta i bruk en offisiell utgave i år.
Bortsett fra å bytte nettleser – Cannon foreslår Opera – så kan man på ulike måter sikre seg mot denne typen angrep. Men ingen av metodene Cannon foreslår er uten ulemper.
Les også:
- [25.02.2013] HTC pålagt å fjerne sårbarheter
- [12.11.2010] Android-hull åpner for skjult installasjon