英國資安專家Thomas Cannon指出,Android內建的瀏覽器可能遭網站利用,竊取使用者的檔案。該漏洞可能影響Android 2.2及之前的版本。
Thomas Cannon使用模擬器製作一段影片說明該漏洞,使用者如果使用內建瀏覽器開啟惡意網頁,該網頁可以在使用者不知情的狀況之下傳送包含惡意程式的檔案到SD記憶卡中,並利用JavaScript開啟及傳送其他檔案到其他地方。他也在執行Android 2.2的宏達電渴望機中驗證過該漏洞。
雖然必須事先知道想要偷取的檔案名稱,但因為Android的照相、錄影、錄音等程式的預設路徑、檔案名稱是固定的,因此駭客可以很容易取得需要的檔案。幸運的是該漏洞存在於瀏覽器,所以是在沙箱中執行,不能像其他惡意程式取得最高階管理人權限(Root),因此只有SD記憶卡與少部分資料可能被盜。
Thomas Cannon已經向Google提報該漏洞,並在20分鐘內獲得回應,Google準備在代號「薑餅人」的Android 2.3中修正。不過這恐怕無濟於事,因為個別手機機種的更新檔案由手機廠商提供,導致使用者可能永遠無法取得更新。
他建議無法取得更新的使用者必須注意不要開啟無故出現的下載完成通知以免受害,也可以把瀏覽器的JavaScript功能關閉,或者換用其他可以自行更新的瀏覽器如Opera、Firefox、Skyfire等。Google曾經建議卸除(unmount)SD記憶卡,不過會影響部分功能。(編譯/沈經)
熱門新聞
2025-12-24
2025-12-29
2025-12-29
2025-12-26
2025-12-26
2025-12-29
Advertisement