Google +
Další bezpečnostní chyba ve všech verzích Androidu
24. 11. 2010 6:42, autor: Karel Kilián
Kategorie Zprávičky
Byla nalezena další bezpečnostní chyba, ohrožující telefony s operačním systémem Android všech verzí (včetně 2.2 Froyo). Opět je na vině výchozí webový prohlížeč.
Skrze zmiňovanou chybu může útočník získat soubory z SD karty; dobrou zprávou ale je, že nezíská přístup úrovně root, ani nemůže provádět žádné změny. Částečně uspokojivě zní informace o tom, že k získání souboru musí znát útočník jeho přesnou cestu a název (to se ale dá např. u fotografií uložených foťákem telefonu odhadnout).
Chyba se realizuje zhruba následujícím způsobem: Android se neptá uživatele, kam má uložit soubory – ukládá je automaticky do /sdcard/download/. Pokud je takto stažena HTML stránka, je možné ji automaticky otevřít skrze JavaScript. Protože takto otevřená stránka běží s lokálními právy, bude v ní umístěný kód proveden bez nutnosti interakce s uživatelem. Tento kód pak má i práva ke čtení souborů z datového úložiště.
Na následujícím videu si můžete prohlédnout praktickou ukázku ukradení dat.
Google byl na chybu upozorněn 19. listopadu, ale aktualizace bude podle něj uvolněna až po vypuštění Androidu 2.3 Gingerbread. Do té doby tedy můžete před surfováním po webu buď odpojovat SD karty, zakázat v prohlížeči JavaScrtipt, nebo (a to bude asi lepší nápad) použít alternativní prohlížeč – například bezpečněji se chovající Operu Mobile.
Zdroj: AndroidCentral a ThomasCannon.net
Komentářů: 24 »
Poslední komentáře
- Šimon Prokopec | LG oznámilo novou verzi nadstavby Optimus UI 3.0
- John Love | Zveme Vás na Android RoadShow!
- lojza | LG oznámilo novou verzi nadstavby Optimus UI 3.0
- uni | HTC One X dostává 3. update
- Fido | Rovio představuje hru Amazing Alex
- M.I.R. | LG oznámilo novou verzi nadstavby Optimus UI 3.0
- uni | LG oznámilo novou verzi nadstavby Optimus UI 3.0
- Game | SvětAndroida doporučuje: 8 přehrávačů videa a hudby
- k3rb3r0s | SvětAndroida doporučuje: 8 přehrávačů videa a hudby
- sax | SvětAndroida doporučuje: 8 přehrávačů videa a hudby
Nejoblíbenější články
- Soutěž: Navrhni tričko a vyhraj Samsung Galaxy S III
- Hra Fruit Ninja zdarma
- Samsung představil Galaxy S III!
- Pařba na víkend – Tipy na Android hry 56
- [UPDATE]: RIM vs. Apple: drsná kampaň proti Apple
- FIFA 12 – nejlepší androidí fotbal
- Synchronizujte Outlook se svým Androidem
- HTC One X – čtyřjádrové monstrum ovládlo redakci [recenze]
- Adobe Flash Player 10.1 ke stažení
- Meteor – nový widget s přesnou předpovědí dešťových srážek
Hezká reklama na Operu :)
Jean | 24.11.2010 @ 07:15 | 194.50.64.xxx
No a nebo na to zkratka a jednoduse srat 8-)
Kato | 24.11.2010 @ 10:35 | 89.176.187.xxx
Do pytle sakra, proc google tychle opravy nevydává HNED/okamžitě ? Komu by to krucinal asi tak mohlo vadit kdyby se na marketu objevila aktualizace Google Browseru ?
mark165 | 24.11.2010 @ 10:35 | 195.113.183.xxx
Nějak stále nechápu jak se případná oprava dostane do všech zařízení s Androidem. To má Google v systému možnost měnit tyto věci aktualizací nezávisle na aktualizacích výrobce? A nebo si Google udělá aktualizaci jenom pro svůj Nexus One a zbytek ho nezajímá? Osobně mám Samsung Galasy S a ještě nikdy mi na něm „neblikla“ nějaká aktualizace.
Phil.cz | 24.11.2010 @ 12:00 | 89.24.198.xxx
Hmm, Google asi v životě neslyšel o aktualizacích OTA nebo a to spíše, to Android neumí, stále je to nedonošené dítě, i po třech letech…
Uni | 24.11.2010 @ 12:18 | 85.132.164.xxx
osobne by som samotne jadro a system BEZ programov instaloval od Googlu a toto aktualizoval Google, a ostatne veci ako programky co su momentalne automaticky dodavane vo firmwarei doinstalovaval cez market. tz ze google by aktualizoval samotny system a aplikacie by sa updatovali cez market. je to iba moj laicky nazor, mozno sa v niecom mylim…
karlik | 24.11.2010 @ 12:38 | 82.210.239.xxx
čau, tohle je docela průser androidu a vidím v tom obrovský problém! Jestliže bude ve světě 90% telefonů s verzí froyo,nebo starší jedná se o nezabezpečené a nebezpečné telefony. Googl tuhle situaci nijak vyřešit nemůže, protože se o aktualizace starají samy výrobci a ti na aktualizace starších modelů kašlou..Je jen otázka času, kdy se oběví více děr a bude platit že android = nebezpečný oper. systém…Apple tohle má ošetřené mnohem líp…objeví se díra vydá update do všech svých telefonů a je po díře:)
Patrik | 24.11.2010 @ 12:58 | 90.183.224.xxx
Phil.cz: starsi verze androida nevim, ale froyo umi aktualizovat tyhle systemovy veci…tedy bylo to v planu nez froyo vysel, realitu neznam.ale spousta google aplikaci vcetne marketu mam novejsi nez byly v poslednim ota update.browser asi nebude problem aktualizovat …
septyk | 24.11.2010 @ 13:18 | 188.95.127.xxx
je vidět,že androida chce hodně lidí ale nic o něm neví. Verzi 2.2 v současnosti používá jen cca 10% všech telefonu a zbytek 90% tel. běží na starších androidech. Když budem počítat modely s froyo tak nám možná bude stačit jedna ruka… a OTA aktualice sice android má,ale zaleží pouze na výrobci jestli je použije, třeba takový galaxy s se musí aktualizovat pomocí softwaru od samsungu a připojení tel. k pc. Jeden z nejznámějších telefonu s androidem galaxy s běží v řr pořád na staré verzi androidu tedy 2.1 a věřte že vyrobci OTA aktualizací využívají jen zřídka. Si přečtěte jak to bylo s aktualizaci dříve velmi oblíbeného telefonu HTC Hero, jak majitelé podepisovali petice aby HTC vydalo aktualizaci a po snad 2 letech HTC aktualizaci vadalo na verzi 2.1 a na 2.2 nebude už nikdy…
Patrik | 24.11.2010 @ 14:18 | 90.183.224.xxx
hmm…možná stačí nestahovat weby, nebo vůbec na nějaký pochybný nelézt ;)
Štěpán | 24.11.2010 @ 14:53 | 94.113.77.xxx
hmm…možná stačí vůbec nepoužívat telefon asi…to jsou rady, tý jo….
Patrik | 24.11.2010 @ 15:49 | 90.183.224.xxx
Nejlepsi ochrana je necist prispevky uzivatelu, to zkazi den okamzite, zatimco bezpecnostni rizika nejsou v realnem svete casto tak palciva jak se prezentuji :)
Littleli | 24.11.2010 @ 16:03 | 217.11.243.xxx
ano, ale řešíme díry v androidu,že jsou a budou a že aktualizace tento problém nevyřeší, protože výrobci aktualizují své telefony žalostně…když budeš mít v telefonu,třeba nějaký choulostivý fotky a dostnou se někam na web, tak z toho člověk může mít pěknej průser
Patrik | 24.11.2010 @ 17:29 | 90.183.224.xxx
Takže o důvod víc nadávat na Samsung že u nás už dávno nevydal oficiálně Froyo pro SGS.
Dávat si do mobilu neoficiální verzi není pro mně. Zvlášť když bych chtěl aby byl můj telefon bezpečnější. Nebudu si tam přece dávat něco, co mohl kdokoliv jakkoliv upravit.
Phil.cz | 24.11.2010 @ 17:51 | 89.24.198.xxx
2 phil.cz: s tebou maximálně souhlasím. Ale problém je ten, že až samsung vydá froyo,tak v něm bude tato bezpečností díry a je možné,že to google nestihne opravit ani do vydání verze 2,3, protože ta je každým dnem na spadnutí a jestli se to zjistilo ted, tak pochybuju, že to stihnou
Patrik | 24.11.2010 @ 17:58 | 90.183.224.xxx
No tak to nas vsechny uklidni jeste vic. :-/
Phil.cz | 24.11.2010 @ 18:07 | 89.24.198.xxx
Proc si ukladat do mobilu duverna data viz.Bursik ,ztrata kradez atd?
TOM | 24.11.2010 @ 18:12 | 94.112.206.xxx
ja neviem ale ja by som si momentalne nekupil telefon ktroy ma nejaky pokurvenek OS a neni podporavany priamo googlom, ziadne samsungy, motorole HTC zo sence, nic.. preto mam G2 a som spokojny.. pokial sa ostatni vyrobci nenaucia chovat k zakaznikom serem na nich.
robert+ | 24.11.2010 @ 18:18 | 62.168.4.xxx
Podle mě jsou důvěrná data i kontakty:) tak co ted?:) Nepoužívat telefony??? Uděláš pár fotek svojí přítelkyně(jen na několik hodin), zapomeneš na díru v OS půjdeš na net a do 14 dní jsou na facebooku:) A i Proto bych chtěl mít bezpečný telefon. Hlavním důvodem proč mít bezpečný telefon je,že telefony začínají zastávat více funkcí než jen volání(email, foto, video, internet,sms)vždy se jedná o důvěrná data. Zatím problém ztráty telefonu má ošetřený pouze apple a htc(+možná nějaké pofidérní aplikace). Mají možnost ztracený telefon zablokovat na dálku. To si myslím, že bude až v další verzi androidu až po verzi 2,3…
Patrik | 24.11.2010 @ 18:28 | 90.183.224.xxx
2 robert: jseš na velkým omylu, G2 není od googlu,ale od tmobile a ten ja na tom s aktualizace ještě hůř než třeba htc:) Jediný telefon,který dostane vždy nový android je google nexus one, proto ho vlastním:)
Patrik | 24.11.2010 @ 18:31 | 90.183.224.xxx
2 patrik: jj mas pravdu, ze som to trochu zjednosdusil: NEXUS je naozzaj jediny ofiko GOOGLE phone. ALE: tmobile G2 je „skoro“ google. Prot ho vlastnim zasa ja :) (a kvuli HW klavesnici nemam Nexusa) a aktualizace su tam taky hnedka: treba ta nedavna aktualizace: byla u mna den pred oznamenim ze bude :)
robert+ | 24.11.2010 @ 19:29 | 62.168.4.xxx
No nevim, ale podle me tenhle problem jde jednoduse vyresit tim, ze vydaji aktualizaci APK „Prohlížeč“ pres market a je to ne? :) Interni programy jako market a youtube, mapy se mi uz mam takhle updatovany, tak nevidim problem v update i tady.
vaclav | 24.11.2010 @ 20:53 | 85.71.164.xxx
jedině tak, ale prohlížeč zatím tímto způsobem neaktualizovali…stejně zůstává problém nekompatibility androidu. Určité aplikace běží na androidu vyšším než třeba 2.1… ty máš android já taky, co to máš za aplikaci? najdi si jí na marketu, já ji tam nemám! Jak to?
Patrik | 24.11.2010 @ 21:47 | 90.183.224.xxx
Jenze to je zpusobeny mj. tim, ze je hodne ruznych typu telefonu s ruznym HW. A to je dobre, aspon je vyber. Nektera app vyzaduje treba trackpad a ty telefony co ho nemaj tak holt takovou app na marketu nevidej, apod.
petr | 25.11.2010 @ 12:12 | 213.29.197.xxx
RSS komentářů k tomuto příspěvku. TrackBack URL
Napsat komentář