Android, lỗ hổng Android mới được phát hiện tạo điều kiện cho việc đánh cắp dữ liệu

Vừa phát hiện ra một lỗ hổng mới thường ảnh hưởng đến tất cả các điện thoại thông minh với Android. Nó cho phép một trang web độc hại lấy tất cả các tệp được lưu trữ trên thẻ nhớ SD được lắp vào điện thoại di động. Hơn nữa, lỗi bảo mật này cũng khiến các dữ liệu và tệp khác được lưu trữ trên điện thoại di động không được bảo vệ.

Chuyên gia bảo mật Thomas Cannon đã phát hiện ra lỗ hổng này và giải thích trên blog của mình rằng nó là kết quả của sự kết hợp của nhiều yếu tố. Trước hết, trình duyệt web Android không thông báo cho người dùng khi tải xuống tệp, nó sẽ tự động làm như vậy. Sử dụng tập lệnh Java, tệp này có thể được mở tự động để trình duyệt hiển thị. Khi tệp HTML được mở trong ngữ cảnh cục bộ đó, trình duyệt Android sẽ thực thi tập lệnh mà không cảnh báo người dùng. Bằng cách đó, tập lệnh Java có thể đọc nội dung của các tệp và dữ liệu khác. Sau đó, nội dungnhững người đã đọc tập lệnh Java có thể được chuyển hướng đến một trang web độc hại.

Một hạn chế của cách khai thác này là bạn cần biết tên và đường dẫn của các tệp bạn muốn đánh cắp. Tuy nhiên, một số ứng dụng lưu trữ dữ liệu thẻ SD cung cấp thông tin đó và các tệp trên thẻ SD (cùng một số tệp trên điện thoại) sẽ bị lộ. Thomas Cannon đã liên hệ với các nhân viên bảo mật của Android, những người đang làm việc để khắc phục lỗ hổng trong phiên bản 2.3 (Gingerbread). Trong khi đó, Cannon cung cấp một số mẹo để cắm lỗ hổng bảo mật.

Điều đầu tiên là để ý xem có xảy ra bất kỳ quá trình tải xuống tự động nào không; ngay cả khi không có thông báo, nó không diễn ra hoàn toàn âm thầm. Người dùng cũng có thể tắt các tập lệnh Java trong cài đặt của trình duyệt của họ. Mặt khác, một trình duyệt như Opera Mobile cung cấp khả năng bảo vệ bổ sung, vì nó cảnh báo trước khi tải xuống tệp. Ngoài ra, việc một công ty bên ngoài phát hành ngay bản cập nhật trình duyệt vá lỗ hổng mới sẽ dễ dàng hơn Google.

Các tin tức khác về… Android, Google, Security