Android弱點可能造成資料被竊

Google正在趕製修補程式,以修復所有Android版本作業系統上一個可能造成資料被竊的弱點,可以讓惡意程式網站取得SD卡中的任何檔案。

Google正在趕製修補程式,以修復所有Android版本作業系統上一個可能造成資料被竊的弱點。

本弱點是由安全研究人員Thomas Cannon發現。「有一天晚上我在做應用安全評估時,我發現一個Android共通的弱點,可以讓惡意程式網站取得SD卡中的任何檔案。利用這項弱點也有可能取得手機上一部份其他資料和檔案。換句話說,成功的攻擊並不會造成攻擊者取得所有裝置的資料。」

Cannon指出,他寫email告知Google這隻蟲後,Google也要求他在製作修補程式期間保留細節。「因為我的用意是告知人們風險所在,而非如何攻擊使用者,因此我答應他們。」

要把任何被竊取的資料回傳攻擊者處也很容易。「JavaScript一旦存取到檔案內容,它就可以送回惡意網站。這是利用JavaScript和redirect的一個很簡單的攻擊,這表示它也能執行在各種版本的Android裝置上。」

Google表示將把此次修補程式包含在下一版Gingerbread (2.3)的更新中。

不過Sophos Canada的資深安全顧問Chester Wisniewski警告指出,較舊的裝置由於記憶體限制,無法執行最新版本的Android,像是HTC Dream (G1)或Motorola Devour。因此,這種手機「很可能永遠都有被攻擊的風險」,即使至少未來幾週出的最新裝置都有風險。

權宜之計是不要使用任何內建的Android瀏覽器。「目前唯一方法是選用Android Market中的第三方應用,而非內建的應用。」他尤其推薦Opera Mobile或 Firefox 4 portable(目前beta版)。

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416