Присутствующая в Android ошибка позволяет “хитроумным” сайтам получить данные, хранящиеся на SD карте смартфона. Дыру в защите операционной системы Android обнаружил исследователь Томас Кэннон, который показал работающее доказательство, используя свой коммуникатор HTC Desire с ОС Android 2.2.
http://static.4pda.ru/wp-content/uploads/2010/11/android-logo-panasonic.jpg (http://static.4pda.ru/wp-content/uploads/2010/11/android-logo-panasonic.jpg)
Скачивая файлы с небезопасных ресурсов, пользователь может ненароком загрузить файл содержащий Javascript, который может быть использован для незаконного доступа к личной информации: браузер сам запустит скрипт и обеспечит доступ на чтение файлов, при этом пользователь будет оставаться в неведении о происходящем. Правда есть и оговорка – осуществить все это возможно только для получения данных с SD карты (вытащить из самого аппарата ничего не получится) и только в том случае, если путь к каталогу уже известен.
Тем не менее, некоторые приложения, хранящиеся на карте имеют определенные имена, а фотографии, сделанные с помощью камеры тоже именуются последовательно, сказал Кэннон. Это означает, что хакеры могут легко получить доступ к таким данным.
Для подтверждения своих слов Кэннон воспользовался смартфоном HTC Desire с ОС Android 2.2, но проделать подобный трюк можно на любом смартфоне под управлением любой версии Android. Кэннон уже предупредил разработчиков Android из Google Security Team, которые работают над решением проблемы, но он думает, что исправление не спасет всех – часть пользователей останется уязвимыми, так как далеко не все производители своевременно предоставляют обновления ОС Android для своих устройств.