Android 弱點可能造成資料被竊

Google 正在趕製修補程式，以修復所有 Android 版本作業系統上一個可能造成資料被竊的弱點。

本弱點是由安全研究人員 Thomas Cannon 發現。「有一天晚上我在做應用安全評估時，我發現一個 Android 共通的弱點，可以讓惡意程式網站取得 SD 卡中的任何檔案。利用這項弱點也有可能取得手機上一部份其他資料和檔案。換句話說，成功的攻擊並不會造成攻擊者取得所有裝置的資料。」

Cannon 指出，他寫 email 告知 Google 這隻蟲後，Google 也要求他在製作修補程式期間保留細節。「因為我的用意是告知人們風險所在，而非如何攻擊使用者，因此我答應他們。」

要把任何被竊取的資料回傳攻擊者處也很容易。「JavaScript 一旦存取到檔案內容，它就可以送回惡意網站。這是利用 JavaScript 和 redirect 的一個很簡單的攻擊，這表示它也能執行在各種版本的 Android 裝置上。」

Google 表示將把此次修補程式包含在下一版 Gingerbread (2.3) 的更新中。

不過 Sophos Canada 的資深安全顧問 Chester Wisniewski 警告指出，較舊的裝置由於記憶體限制，無法執行最新版本的 Android，像是 HTC Dream (G1) 或 Motorola Devour 。因此，這種手機「很可能永遠都有被攻擊的風險」，即使至少未來幾週出的最新裝置都有風險。

權宜之計是不要使用任何內建的 Android 瀏覽器。「目前唯一方法是選用 Android Market 中的第三方應用，而非內建的應用。」他尤其推薦 Opera Mobile 或 Firefox 4 portable（目前 beta 版）。