Je viens de découvrir une nouvelle vulnérabilité qui affecte généralement tous les smartphones avec Android. Il permet à un site Web malveillant d'obtenir tous les fichiers stockés sur la carte mémoire SD insérée dans le téléphone mobile. En outre, cette défaillance de sécurité laisse également d' autres données et fichiers stockés sur le téléphone mobile sans protection.
L'expert en sécurité Thomas Cannon a découvert cette vulnérabilité et explique sur son blog qu'elle est le résultat d'un mélange de facteurs. Tout d'abord, le navigateur Web Android n'informe pas l'utilisateur lors du téléchargement d'un fichier, il le fait automatiquement. À l'aide d'un script Java, ce fichier peut être ouvert automatiquement pour que le navigateur s'affiche. Lorsqu'un fichier HTML est ouvert dans ce contexte local, le navigateur Android exécute le script sans alerter l'utilisateur. De cette façon, le script Java peut lire le contenu des fichiers et d'autres données. Puis le contenuqui ont lu le script Java peuvent être redirigés vers un site Web malveillant.
Une limitation de cet exploit est que vous devez connaître le nom et le chemin des fichiers que vous souhaitez voler. Cependant, plusieurs applications de stockage de données sur carte SD offrent ces informations et les fichiers sur la carte SD (plus quelques-uns sur le téléphone) sont exposés. Thomas Cannon a contacté les responsables de la sécurité Android, qui s'efforcent de corriger la vulnérabilité de la version 2.3 (Gingerbread). En attendant, Cannon propose plusieurs astuces pour boucher le trou de sécurité.
La première chose à faire est de regarder si un téléchargement automatique se produit; même s'il n'y a pas de notification, cela ne se produit pas complètement en silence. L'utilisateur peut également désactiver les scripts Java dans la configuration de son navigateur. En revanche, un navigateur comme Opera Mobile offre une protection supplémentaire, car il prévient avant de télécharger un fichier. En outre, il est plus facile pour une entreprise extérieure de publier immédiatement une mise à jour du navigateur qui corrige une nouvelle vulnérabilité que Google ne le fait.
Autres actualités sur… Android, Google, Sécurité
