Se ha descubierto un fallo de seguridad en el sistema operativo para
teléfonos Android 2.2 que podría permitir a un atacante obtener
cualquier fichero del usuario almacenado en el teléfono si la víctima
visita una web especialmente manipulada.
Para aprovechar este fallo, la víctima debe visitar un enlace. Éste, a
través de JavaScript, podría obtener el fichero deseado y subirlo al
servidor del atacante, por ejemplo. El descubridor ha eliminado de su
blog (a petición de Google) los detalles técnicos del problema, pero
básicamente describe que el fallo se da por una combinación de factores:
* El navegador de Android no pide permiso al usuario a la hora de
descargar un fichero HTML. Se almacena automáticamente.
* Con JavaScript, es posible lanzar una vez descargado ese fichero y el
navegador lo procesa.
* En ese contexto, Android ejecutará el JavaScript sin pedir permiso al
usuario y además será capaz de acceder a ficheros del usuario. Se recomienda a usuarios con Android 2.2 en sus teléfonos (Google Nexus
One, Samsung Galaxy Tab, HTC Desire?) que deshabiliten JavaScript o
utilicen un navegador alternativo como Opera. Este último confirma con
el usuario antes de descargar un fichero.
Via: www.hispasec.com
teléfonos Android 2.2 que podría permitir a un atacante obtener
cualquier fichero del usuario almacenado en el teléfono si la víctima
visita una web especialmente manipulada.
Para aprovechar este fallo, la víctima debe visitar un enlace. Éste, a
través de JavaScript, podría obtener el fichero deseado y subirlo al
servidor del atacante, por ejemplo. El descubridor ha eliminado de su
blog (a petición de Google) los detalles técnicos del problema, pero
básicamente describe que el fallo se da por una combinación de factores:
* El navegador de Android no pide permiso al usuario a la hora de
descargar un fichero HTML. Se almacena automáticamente.
* Con JavaScript, es posible lanzar una vez descargado ese fichero y el
navegador lo procesa.
* En ese contexto, Android ejecutará el JavaScript sin pedir permiso al
usuario y además será capaz de acceder a ficheros del usuario. Se recomienda a usuarios con Android 2.2 en sus teléfonos (Google Nexus
One, Samsung Galaxy Tab, HTC Desire?) que deshabiliten JavaScript o
utilicen un navegador alternativo como Opera. Este último confirma con
el usuario antes de descargar un fichero.
Via: www.hispasec.com