Menu

Další bezpečnostní chyba ve všech verzích Androidu

Byla nalezena další bezpečnostní chyba, ohrožující telefony s operačním systémem Android všech verzí (včetně 2.2 Froyo). Opět je na vině výchozí webový prohlížeč.

Skrze zmiňovanou chybu může útočník získat soubory z SD karty; dobrou zprávou ale je, že nezíská přístup úrovně root, ani nemůže provádět žádné změny. Částečně uspokojivě zní informace o tom, že k získání souboru musí znát útočník jeho přesnou cestu a název (to se ale dá např. u fotografií uložených foťákem telefonu odhadnout).

Chyba se realizuje zhruba následujícím způsobem: Android se neptá uživatele, kam má uložit soubory – ukládá je automaticky do /sdcard/download/. Pokud je takto stažena HTML stránka, je možné ji automaticky otevřít skrze JavaScript. Protože takto otevřená stránka běží s lokálními právy, bude v ní umístěný kód proveden bez nutnosti interakce s uživatelem. Tento kód pak má i práva ke čtení souborů z datového úložiště.

Na následujícím videu si můžete prohlédnout praktickou ukázku ukradení dat.

Google byl na chybu upozorněn 19. listopadu, ale aktualizace bude podle něj uvolněna až po vypuštění Androidu 2.3 Gingerbread. Do té doby tedy můžete před surfováním po webu buď odpojovat SD karty, zakázat v prohlížeči JavaScrtipt, nebo (a to bude asi lepší nápad) použít alternativní prohlížeč – například bezpečněji se chovající Operu Mobile.

Zdroj: AndroidCentral a ThomasCannon.net

 

Komentáře

Jean

Jean

24.11.2010 7:15

Hezká reklama na Operu :)

Kato

Kato

24.11.2010 10:35

No a nebo na to zkratka a jednoduse srat 8-)

mark165

mark165

24.11.2010 10:35

Do pytle sakra, proc google tychle opravy nevydává HNED/okamžitě ? Komu by to krucinal asi tak mohlo vadit kdyby se na marketu objevila aktualizace Google Browseru ?

Phil.cz

Phil.cz

24.11.2010 12:00

Nějak stále nechápu jak se případná oprava dostane do všech zařízení s Androidem. To má Google v systému možnost měnit tyto věci aktualizací nezávisle na aktualizacích výrobce? A nebo si Google udělá aktualizaci jenom pro svůj Nexus One a zbytek ho nezajímá? Osobně mám Samsung Galasy S a ještě nikdy mi na něm “neblikla” nějaká aktualizace.

Uni

Uni

24.11.2010 12:18

Hmm, Google asi v životě neslyšel o aktualizacích OTA nebo a to spíše, to Android neumí, stále je to nedonošené dítě, i po třech letech…

karlik

karlik

24.11.2010 12:38

osobne by som samotne jadro a system BEZ programov instaloval od Googlu a toto aktualizoval Google, a ostatne veci ako programky co su momentalne automaticky dodavane vo firmwarei doinstalovaval cez market. tz ze google by aktualizoval samotny system a aplikacie by sa updatovali cez market. je to iba moj laicky nazor, mozno sa v niecom mylim…

Patrik

Patrik

24.11.2010 12:58

čau, tohle je docela průser androidu a vidím v tom obrovský problém! Jestliže bude ve světě 90% telefonů s verzí froyo,nebo starší jedná se o nezabezpečené a nebezpečné telefony. Googl tuhle situaci nijak vyřešit nemůže, protože se o aktualizace starají samy výrobci a ti na aktualizace starších modelů kašlou..Je jen otázka času, kdy se oběví více děr a bude platit že android = nebezpečný oper. systém…Apple tohle má ošetřené mnohem líp…objeví se díra vydá update do všech svých telefonů a je po díře:)

septyk

septyk

24.11.2010 13:18

Phil.cz: starsi verze androida nevim, ale froyo umi aktualizovat tyhle systemovy veci…tedy bylo to v planu nez froyo vysel, realitu neznam.ale spousta google aplikaci vcetne marketu mam novejsi nez byly v poslednim ota update.browser asi nebude problem aktualizovat …

Patrik

Patrik

24.11.2010 14:18

je vidět,že androida chce hodně lidí ale nic o něm neví. Verzi 2.2 v současnosti používá jen cca 10% všech telefonu a zbytek 90% tel. běží na starších androidech. Když budem počítat modely s froyo tak nám možná bude stačit jedna ruka… a OTA aktualice sice android má,ale zaleží pouze na výrobci jestli je použije, třeba takový galaxy s se musí aktualizovat pomocí softwaru od samsungu a připojení tel. k pc. Jeden z nejznámějších telefonu s androidem galaxy s běží v řr pořád na staré verzi androidu tedy 2.1 a věřte že vyrobci OTA aktualizací využívají jen zřídka. Si přečtěte jak to bylo s aktualizaci dříve velmi oblíbeného telefonu HTC Hero, jak majitelé podepisovali petice aby HTC vydalo aktualizaci a po snad 2 letech HTC aktualizaci vadalo na verzi 2.1 a na 2.2 nebude už nikdy…

Štěpán

Štěpán

24.11.2010 14:53

hmm…možná stačí nestahovat weby, nebo vůbec na nějaký pochybný nelézt ;)

Patrik

Patrik

24.11.2010 15:49

hmm…možná stačí vůbec nepoužívat telefon asi…to jsou rady, tý jo….

Littleli

Littleli

24.11.2010 16:03

Nejlepsi ochrana je necist prispevky uzivatelu, to zkazi den okamzite, zatimco bezpecnostni rizika nejsou v realnem svete casto tak palciva jak se prezentuji :)

Patrik

Patrik

24.11.2010 17:29

ano, ale řešíme díry v androidu,že jsou a budou a že aktualizace tento problém nevyřeší, protože výrobci aktualizují své telefony žalostně…když budeš mít v telefonu,třeba nějaký choulostivý fotky a dostnou se někam na web, tak z toho člověk může mít pěknej průser

Phil.cz

Phil.cz

24.11.2010 17:51

Takže o důvod víc nadávat na Samsung že u nás už dávno nevydal oficiálně Froyo pro SGS.
Dávat si do mobilu neoficiální verzi není pro mně. Zvlášť když bych chtěl aby byl můj telefon bezpečnější. Nebudu si tam přece dávat něco, co mohl kdokoliv jakkoliv upravit.

Patrik

Patrik

24.11.2010 17:58

2 phil.cz: s tebou maximálně souhlasím. Ale problém je ten, že až samsung vydá froyo,tak v něm bude tato bezpečností díry a je možné,že to google nestihne opravit ani do vydání verze 2,3, protože ta je každým dnem na spadnutí a jestli se to zjistilo ted, tak pochybuju, že to stihnou

Phil.cz

Phil.cz

24.11.2010 18:07

No tak to nas vsechny uklidni jeste vic. :-/

TOM

TOM

24.11.2010 18:12

Proc si ukladat do mobilu duverna data viz.Bursik ,ztrata kradez atd?

robert+

robert+

24.11.2010 18:18

ja neviem ale ja by som si momentalne nekupil telefon ktroy ma nejaky pokurvenek OS a neni podporavany priamo googlom, ziadne samsungy, motorole HTC zo sence, nic.. preto mam G2 a som spokojny.. pokial sa ostatni vyrobci nenaucia chovat k zakaznikom serem na nich.

Patrik

Patrik

24.11.2010 18:28

Podle mě jsou důvěrná data i kontakty:) tak co ted?:) Nepoužívat telefony??? Uděláš pár fotek svojí přítelkyně(jen na několik hodin), zapomeneš na díru v OS půjdeš na net a do 14 dní jsou na facebooku:) A i Proto bych chtěl mít bezpečný telefon. Hlavním důvodem proč mít bezpečný telefon je,že telefony začínají zastávat více funkcí než jen volání(email, foto, video, internet,sms)vždy se jedná o důvěrná data. Zatím problém ztráty telefonu má ošetřený pouze apple a htc(+možná nějaké pofidérní aplikace). Mají možnost ztracený telefon zablokovat na dálku. To si myslím, že bude až v další verzi androidu až po verzi 2,3…

Patrik

Patrik

24.11.2010 18:31

2 robert: jseš na velkým omylu, G2 není od googlu,ale od tmobile a ten ja na tom s aktualizace ještě hůř než třeba htc:) Jediný telefon,který dostane vždy nový android je google nexus one, proto ho vlastním:)

robert+

robert+

24.11.2010 19:29

2 patrik: jj mas pravdu, ze som to trochu zjednosdusil: NEXUS je naozzaj jediny ofiko GOOGLE phone. ALE: tmobile G2 je “skoro” google. Prot ho vlastnim zasa ja :) (a kvuli HW klavesnici nemam Nexusa) a aktualizace su tam taky hnedka: treba ta nedavna aktualizace: byla u mna den pred oznamenim ze bude :)

vaclav

vaclav

24.11.2010 20:53

No nevim, ale podle me tenhle problem jde jednoduse vyresit tim, ze vydaji aktualizaci APK “Prohlížeč” pres market a je to ne? :) Interni programy jako market a youtube, mapy se mi uz mam takhle updatovany, tak nevidim problem v update i tady.

Patrik

Patrik

24.11.2010 21:47

jedině tak, ale prohlížeč zatím tímto způsobem neaktualizovali…stejně zůstává problém nekompatibility androidu. Určité aplikace běží na androidu vyšším než třeba 2.1… ty máš android já taky, co to máš za aplikaci? najdi si jí na marketu, já ji tam nemám! Jak to?

petr

petr

25.11.2010 12:12

Jenze to je zpusobeny mj. tim, ze je hodne ruznych typu telefonu s ruznym HW. A to je dobre, aspon je vyber. Nektera app vyzaduje treba trackpad a ty telefony co ho nemaj tak holt takovou app na marketu nevidej, apod.

RSS (komentáře k článku)