Android 2.3将修复一个数据窃取漏洞

安全 漏洞
代号“姜饼”的Android2.3系统将修复现有系统中的一个数据窃取漏洞,Android2.3系统预计近期将开放下载。谷歌Android安全小组目前正在着手修补这个浏览器数据窃取漏洞,这个漏洞可以使网站未经授权就可以访问Android设备内存卡中的存储 文件。

代号“姜饼”的Android2.3系统将修复现有系统中的一个数据窃取漏洞,Android2.3系统预计近期将开放下载。谷歌Android安全小组目前正在着手修补这个浏览器数据窃取漏洞,这个漏洞可以使网站未经授权就可以访问Android设备内存卡中的存储 文件。这个漏洞最先由托马斯·坎农(Thomas Cannon)发现。他表示,自动文件下载、JavaScript和microSD访问政策加在一起,在浏览器或电子邮件中点击某些HTML页面,用户的 隐私数据可能会被窃取。

不过这个漏洞实现起来要有特定条件,关键是第三方必须知道他们想偷窃的文件名称。不过由于许多Android设备都遵循照片和视频文件的标准化命名方式,窃取方可能也找不到什么。

坎农描述漏洞实现过程如下:

Android浏览器在下载payload.html等文件时不会告知用户,而是自动下载存储至/sdcard/download。 使用JavaScript让这个payload文件自动打开,使浏览器显示本地文件。

用户在这种本地环境下打开一个HTML文件,Android浏览器会在不告知用户的情况下自动运行JavaScript。而在这种本地环境下,JavaScript就能够读取文件内容和其他数据。

该缺陷已经被安全网站海瑟安全(Heise Security)独立证实,而现在最好的建议是要警惕可疑网站、电子邮件中的HTML链接或Android通知栏中突然弹出的下载。在手机升级到Android2.3系统前,用户必须小心。

【编辑推荐】

  1. 企业Android安全:移动手机数据保护建议
  2. Android内核被曝存在88个高危漏洞
  3. Google多款产品现安全漏洞 可泄露Gmail信息
  4. Firefox暴严重零日漏洞 已被攻击者利用
责任编辑:佟健 来源: cnBeta
相关推荐

2015-09-08 10:15:16

2022-07-22 15:40:26

Atlassian服务器漏洞

2010-12-10 15:28:19

2020-11-04 14:59:01

GoogleChrome更新

2017-12-18 13:07:44

2018-02-25 17:30:18

2011-07-08 11:12:52

2016-01-24 23:00:21

2010-08-06 15:11:02

2022-08-25 06:49:49

GitLab漏洞修复

2015-02-12 16:34:55

2022-01-03 07:19:47

Google漏洞Chrome

2017-06-03 15:43:54

数据项目框架

2012-06-08 10:10:58

2017-02-16 15:47:12

2009-10-12 13:01:23

2014-12-17 09:40:22

dockerLinuxPaaS

2012-01-06 10:37:20

2010-02-06 09:25:39

2023-08-25 16:33:10

点赞
收藏

51CTO技术栈公众号