Обнаруженная в мобильной операционной системе Android уязвимость позволяет злоумышленнику получить доступ к файлам, хранящимся на карте памяти устройства, сообщает Pocketnow со ссылкой на эксперта в области информационной безопасности Томаса Кэннона (Thomas Cannon). Проблема касается всех смартфонов на данной платформе и всех ее версий.

Проблема связана со встроенным веб-браузером и является следствием целого ряда факторов, пишет эксперт, первый обнаруживший проблему. Начинается все с того, что веб-браузер Android не спрашивает у пользователя разрешения о том, можно ли загрузить файл из интернета, — он делает это автоматически и сохраняет файл в заданное место. После этого веб-браузер может запустить данный файл, который может содержать вредоносный код javascript и открыть хакерам доступ к содержимому всей карты памяти.

В демонстрационном ролике эксперт, первым обнаруживший проблему, показал, как в несколько шагов можно с легкостью распрощаться с конфиденциальной информацией. Сначала он создал на карте памяти простой текстовый файл, а затем прошел по вредоносной ссылке. Через несколько секунд файл, который он создал, уже находится на сервере злоумышленников.

Код исполняется в среде операционной системы, поэтому он не позволяет открыть к ней корневой (root) доступ. Это обнадеживает, хотя проблема масштабна — она касается всех мобильных устройств, в которых используется Android, и всех версий операционной системы, включая самую свежую — 2.2 (Froyo).

После того, как Кэннон нашел уязвимость, он немедленно уведомил команду разработчиков. Последние проявили фантастическую скорость, пишет он в своем блоге. Ответ пришел в его почтовый ящик через 20 минут. Разработчики уже создали патч, который в настоящее время находится в процессе тестирования, а внести соответствующие изменения непосредственно в операционную систему планируют сразу после выхода Android 2.3 (Gingerbread), презентация которой ожидается 6 декабря.

Сложность, считает Кэннон, заключается в том, что выпуск обновлений зачастую зависит от операторов, которые делают это нерегулярно и без лишней охоты. В результате в существующих устройствах данная проблема может быть еще долго. Для этого, во-первых, специалист рекомендует следить за загрузками в браузере — уведомления о них все же можно заметить (они появляются в специальной области на экране). Во-вторых, вместо штатного браузера можно использовать Opera Mobile или другую альтернативу — в сторонних продуктах подобные уязвимости закрываются гораздо быстрее. В-третьих, можно отключить JavaScrpit. Делается это в настройках браузера, однако вряд ли доставит пользователю радость. В конце-концов на устройстве можно просто не хранить конфиденциальную информацию, однако это не тот случай, когда оно является рабочим инструментом.

Отметим, что за последний год в смартфонах было найдено столько уязвимостей, сколько, пожалуй, за все время существования мобильной связи. Это происходит вследствие усложнения устройств — использования более сложного программного обеспечения для их управления и возможности самостоятельной установки огромного числа приложений.

Так, например, позавчера эксперты обнаружили несколько уязвимостей в мобильной операционной системе WebOS, также как и Android основанной на ядре Linux, которые позволяют злоумышленникам не только исполнять произвольный код на смартфонах под ее управлением, но и включать их в ботнет. Ранее пресса писала как минимум об одной серьезной уязвимости в операционной системе iOS, которая позволяла хакерам получать доступ к памяти устройств Apple. Вендор учел эту проблему в следующей версии прошивки, которая вышла спустя некоторое время.

 

Источник - hi-news.com.ua