اكتشفت للتو جديد الضعف التي تؤثر عموما كل الهواتف الذكية مع الروبوت. يسمح لموقع ويب ضار بالحصول على جميع الملفات المخزنة على بطاقة ذاكرة SD التي يتم إدخالها في الهاتف المحمول. بالإضافة إلى ذلك ، يؤدي هذا الفشل الأمني أيضًا إلى ترك البيانات والملفات الأخرى المخزنة على الهاتف المحمول غير محمية.
اكتشف الخبير الأمني توماس كانون هذه الثغرة الأمنية وأوضح في مدونته أنها نتيجة مزيج من العوامل. أولاً وقبل كل شيء ، لا يقوم متصفح الويب Android بإعلام المستخدم عند تنزيل ملف ، بل يقوم بذلك تلقائيًا. باستخدام برنامج Java النصي ، يمكن فتح هذا الملف تلقائيًا لعرضه على المتصفح. عندما يتم فتح ملف HTML في هذا السياق المحلي ، يقوم متصفح Android بتنفيذ البرنامج النصي دون تنبيه المستخدم. بهذه الطريقة ، يمكن لبرنامج Java النصي قراءة محتويات الملفات والبيانات الأخرى. ثم المحتوياتقد تتم إعادة توجيه الذين قرأوا برنامج Java النصي إلى موقع ويب ضار.
أحد قيود هذا الاستغلال هو أنك بحاجة إلى معرفة اسم ومسار الملفات التي تريد سرقتها. ومع ذلك ، تقدم العديد من تطبيقات تخزين بيانات بطاقة SD هذه المعلومات ، ويتم كشف الملفات الموجودة على بطاقة SD (بالإضافة إلى عدد قليل منها على الهاتف). اتصل Thomas Cannon بضباط أمان Android ، الذين يعملون على إصلاح الثغرة الأمنية في الإصدار 2.3 (Gingerbread). وفي الوقت نفسه ، تقدم كانون عدة نصائح لسد الثقب الأمني.
أول شيء يجب الانتباه إليه في حالة حدوث أي تنزيل تلقائي ؛ حتى إذا لم يكن هناك إشعار ، فلن يحدث ذلك بصمت تمامًا. كما يمكن للمستخدم إلغاء تنشيط نصوص Java ضمن إعدادات متصفحه. من ناحية أخرى ، يوفر متصفح مثل Opera Mobile حماية إضافية ، لأنه يحذر قبل تنزيل ملف. بالإضافة إلى ذلك ، من الأسهل على شركة خارجية إصدار تحديث متصفح على الفور يقوم بتصحيح ثغرة أمنية جديدة أكثر مما تفعل Google.
أخبار أخرى حول… Android ، Google ، الأمان
