Luka w Androidzie umożliwia kradzież danych

Ekspert od zabezpieczeń Thomas Cannon odkrył w przeglądarce Androida lukę bezpieczeństwa, która pozwala potencjalnemu napastnikowi na odczytanie lokalnych danych użytkownika smartfonu w wyniku odwiedzenia przezeń spreparowanej strony WWW.

Okazuje się, że usterka występuje we wszystkich wersjach Androida, z aktualną edycją 2.2 (Froyo) włącznie. Potwierdziły to przeprowadzone przez redakcję heise Security testy na urządzeniach Google Nexus One i Samsung Galaxy Tab z systemem Android 2.2. Cannon podaje, że weryfikacji dokonał przy użyciu smartfonu HTC Desire (2.2) oraz emulatora Androida (1.5, 1.6 i 2.2) z google'owskiego zestawu SDK.

Jako że przeglądarka działa w piaskownicy (sandbox), napastnik może w ten sposób uzyskać dostęp jedynie do danych użytkowych, a nie np. do katalogów systemowych. Poza tym intruz musi znać ścieżkę prowadzącą do upatrzonego przez siebie łupu. Odpowiednim celem byłyby zdjęcia z aparatu cyfrowego, które są przechowywane według kolejnych numerów, albo zawsze tak samo nazywane pliki aplikacyjne. W tych ostatnich mogą się znajdować nawet poufne dane, np. pochodzące z programu służącego do obsługi bankowości internetowej.

Nie istnieje jeszcze rozwiązanie problemu. Cannon poinformował Google'a o luce i w ciągu 2. minut otrzymał odpowiedź z informacją, że koncern bada problem. Wkrótce potem na prośbę wyszukiwarkowego giganta usunął z własnej strony WWW większość szczegółów dotyczących usterki. Tymczasem Google przeanalizował lukę i przygotował pierwszą łatę, która obecnie jest modyfikowana. Niestety, w nadchodzącym wydaniu Androida 2.3 (Gingerbread) nie zostanie ona uwzględniona. Ma się ukazać dopiero w ramach następnej aktualizacji – jednak zanim trafi do użytkowników, zapewne minie jeszcze trochę czasu. Właśnie tym Cannon uzasadnia swoją decyzję o upublicznieniu problemu.

Dla celów demonstracyjnych Cannon przetransferował na własny serwer zawartość pliku ct.txt z katalogu głównego naszej karty pamięci –. my jedynie kliknęliśmy w standardowej przeglądarce Androida nadesłany odnośnik. Serwer napastnika przesłał naszpikowany kodem JavaScript plik HTML do przeglądarki, która samowolnie go pobrała, a następnie, przekierowując się na pobrany plik, uruchomiła go z lokalnymi uprawnieniami. Tym sposobem skrypt uzyskał dostęp do systemu plików i był w stanie przekazywać wybrane pliki do serwera napastnika.

Podczas przekazywania zmanipulowanego pliku mignie przez moment okno z komunikatem o automatycznym pobieraniu –. tego procesu nie zdołamy jednak powstrzymać.

Przed takimi zagrożeniami można się uchronić, wyłączając w ustawieniach browsera obsługę JavaScriptu albo przesiadając się na inną przeglądarkę, choćby Operę Mobile, która przed pobraniem pliku przynajmniej zapyta o zgodę. Niemniej jednak zmanipulowany plik HTML może się przedostać na urządzenie także inną drogą, na przykład jako załącznik e-maila.

wydanie internetowe www.heise-online.pl