代號“姜餅”的Android2.3系統將修復現有系統中的一個數據竊取漏洞,Android2.3系統預計近期將開放下載。谷歌Android安全小組目前正在著手修補這個瀏覽器數據竊取漏洞,這個漏洞可以使網站未經授權就可以訪問Android設備內存卡中的存儲 文件。這個漏洞最先由托馬斯·坎農(Thomas Cannon)發現。他表示,自動文件下載、JavaScript和microSD訪問政策加在一起,在瀏覽器或電子郵件中點擊某些HTML頁面,用戶的 隱私數據可能會被竊取。
不過這個漏洞實現起來要有特定條件,關鍵是第三方必須知道他們想偷竊的文件名稱。不過由于許多Android設備都遵循照片和視頻文件的標準化命名方式,竊取方可能也找不到什么。
坎農描述漏洞實現過程如下:
Android瀏覽器在下載payload.html等文件時不會告知用戶,而是自動下載存儲至/sdcard/download。 使用JavaScript讓這個payload文件自動打開,使瀏覽器顯示本地文件。
用戶在這種本地環境下打開一個HTML文件,Android瀏覽器會在不告知用戶的情況下自動運行JavaScript。而在這種本地環境下,JavaScript就能夠讀取文件內容和其他數據。
該缺陷已經被安全網站海瑟安全(Heise Security)獨立證實,而現在最好的建議是要警惕可疑網站、電子郵件中的HTML鏈接或Android通知欄中突然彈出的下載。在手機升級到Android2.3系統前,用戶必須小心。
進入論壇>>推薦閱讀
基于這些原因,決定蘋果或者其它競爭對手在中國能否成功,關鍵并不是市場份額,而是上升的利潤、增長的銷售、滿意的消費者。 精彩推薦 Wolf Group Asia首席執行官、總裁David Wolf今天發文章《蘋果為什么在中國留下地>>>詳細閱讀
地址:http://m.sdlzkt.com/a/xie/20111230/191770.html
網友點評
精彩導讀
科技快報
品牌展示