Android, neue Android-Sicherheitslücke entdeckt, die Datendiebstahl erleichtert

Ich habe gerade eine neue Sicherheitslücke entdeckt, die im Allgemeinen alle Smartphones mit Android betrifft. Auf einer böswilligen Website können alle Dateien auf der im Mobiltelefon eingelegten SD-Speicherkarte gespeichert werden. Darüber hinaus bleiben durch diesen Sicherheitsfehler auch andere auf dem Mobiltelefon gespeicherte Daten und Dateien ungeschützt.

Der Sicherheitsexperte Thomas Cannon hat diese Sicherheitsanfälligkeit entdeckt und erklärt in seinem Blog, dass sie das Ergebnis einer Mischung von Faktoren ist. Erstens benachrichtigt der Android-Webbrowser den Benutzer nicht beim Herunterladen einer Datei, sondern automatisch. Mithilfe eines Java-Skripts kann diese Datei automatisch geöffnet werden, damit der Browser sie anzeigen kann. Wenn eine HTML-Datei in diesem lokalen Kontext geöffnet wird, führt der Android- Browser das Skript aus, ohne den Benutzer zu benachrichtigen. Auf diese Weise kann das Java-Skript den Inhalt der Dateien und anderer Daten lesen. Dann der InhaltWer das Java-Skript gelesen hat, wird möglicherweise auf eine schädliche Website umgeleitet.

Eine Einschränkung dieses Exploits besteht darin, dass Sie den Namen und den Pfad der Dateien kennen müssen, die Sie stehlen möchten. Einige Datenspeicheranwendungen für SD-Karten bieten diese Informationen jedoch an, und die Dateien auf der SD-Karte (plus einige auf dem Telefon) werden angezeigt. Thomas Cannon hat Android- Sicherheitsbeauftragte kontaktiert, die daran arbeiten, die Sicherheitsanfälligkeit in Version 2.3 (Gingerbread) zu beheben. In der Zwischenzeit bietet Cannon verschiedene Tipps zum Verschließen der Sicherheitslücke.

Als erstes müssen Sie darauf achten, ob ein automatischer Download erfolgt. Selbst wenn keine Benachrichtigung erfolgt, geschieht dies nicht vollständig lautlos. Der Benutzer kann die Java-Skripte auch in den Einstellungen seines Browsers deaktivieren. Andererseits bietet ein Browser wie Opera Mobile zusätzlichen Schutz, da er vor dem Herunterladen einer Datei warnt. Darüber hinaus ist es für ein externes Unternehmen einfacher, sofort ein Browser-Update zu veröffentlichen, das eine neue Sicherheitsanfälligkeit behebt, als dies bei Google der Fall ist.

Weitere Neuigkeiten zu… Android, Google, Sicherheit