A múltkori, csak 2.1-ig sebző exploit után itt egy cikisebb, ami 2.2 alatt is működik, tehát jelenleg az összes Androidos stock browser érintett.
Az új sebezhetőségre Thomas Cannon hívta fel a figyelmet (proof of concept videóval). Lényege, hogy az Android stock böngésző tervezési hiányosságait kihasználva lényegében lelopható az SD kártya teljes tartalma egy Androidos telefonról, az interneten keresztül. Ehhez mindössze annyi kell, hogy a telefon tulajdonosa beleszaladjon egy fertőzött weboldalba.
A sebezhetőség egyébként több faktor szerencsétlen együttállásának köszönheti létét:
- Az Androidos böngésző nem kérdezi meg a felhasználót, mielőtt letölt egy file-t.
- Lehetőség van arra, hogy JavaScript segítségével automatikusan lefuttassa a rendszer a file-t, a böngésző nem kérdez rá erre sem.
- Az SD kártyára mentett file-ban levő malicsüsz JavaScript-tel olvasható az SD kártya tartalma, a kód azt csinál vele, amit akar, pl. “hazaküldheti”.
Szerencse a szerencsétlenségben, hogy a JavaScript kódnak pontosan tudnia kell a lelopni kívánt állományok elérési útját, filenevét. Ezzel szűkül a kör, de még mindig könnyedén be lehet próbálkozni a népszerűbb programok által tárolt adatok eléréseivel, márpedig azok között is elég sok értékes adatra lelhet a kíváncsi szem.
Sokmindent ez ellen egyelőre nem lehet tenni:
- Ki lehet kapcsolni a JavaScript futtatását a böngészőben, de ezzel kb. a fél internetet kikapcsoltad magadnak.
- Lehet használni alternatív böngészőt, pl. Operát (én mostanában erre tértem át egyébként).
- Le lehet csatolni az SD kártyát, mielőtt használod a böngészőt, de az is elég béna workaround…
Nagyon fontos viszont, hogy az Android szerencsére minden letöltésről (ha nem is kérdez rá, de) szól, így ha gyanús letöltős értesítést látsz a Notification Bar-ban, akkor gyanakodhatsz, és kapcsolhatod ki az adatforgalmat.
És talán a legáltalánosabb szabály az, hogy óvatosan! Használd a józan paraszti eszedet böngszés közben és ne nyiss meg gyanús idegen oldalakat. (Mindez addig érvényes, amíg pl. Twitteren nem terjed el valami kártékony tweet, ami automatikusan megnyit egy ilyen oldalt a háttérben…)
Mindez elég ciki a Google-nek, és rávilágít arra a problémára, hogy egy ilyen sebezhetőséget jelenleg nem tud a Google egyszerűen, központilag javítani: a szolgáltatók által “kusztomizált” házi buildek-re nem lehet csak úgy OTA frissítést kitolni, láttuk, hogy pl. egy Sony esetében ehhez nem is hónapok, hanem évek kellenek. Ez tehát nem működik. (Erre egyébként a Sophos is rávilágított.)
A kézenfekvő megoldás az lenne, ha az alaprendszer minél több komponensét Marketre tenné a Google, mint ahogy a Youtube, Google Maps, GMail appok esetében ez már megtörtént. Ott aztán ugyanúgy, ahogy bárki más, gyorsan reagálva napokon belül kitolhat egy frissítést, befoltozhatja a lukat. Mindezt jobb, ha még a teljes piaci dominancia előtt megteszik, mert már most látszik, hogy kedvelt célpont lesz az Android (lévén majdnem a legnépszerűbb mobil oprendszer), és egy ilyen rés, mint a böngésző nagyon triviális és könnyen kihasználható támadási felület.
Nekünk, felhasználóknak pedig egyelőre marad a sandbox modellben való vak bizalom, illetve tényleg, ha teheted, az alternatív böngésző használata. A problémát egyébként a Gingerbread-es böngészőben már javítani fogják.