Android 瀏覽器 2.2之前版本的漏洞, 可能造成SD卡資料外洩

Android 或者各種瀏覽器、作業系統 等等, 都是有可能出現漏洞, 但是今天看到的新聞, 似乎 Open Source 散佈後, 會遇到的嚴重問題.

Open Source 的好處是看得到 Source code, 所以大家都可以改, 可以 fork 自己的版本 (在此先不討論授權問題), 但是, 同樣另一個問題就是, 會有很多不同得版本出現, 這沒有好壞, 但是, 看到這篇新聞, 有幾個問題是比較嚴重的:

  1. 該漏洞可能影響Android 2.2及之前的版本, "Google準備在代號「薑餅人」的Android 2.3中修正", 那 2.2版以前 的 該怎麼辦?
  2. 就算 Google 若在 2.2 版修正, 但是其他廠商(ex: HTC) 沒有修正, 還是一樣沒救.

新聞 - Android瀏覽器新漏洞 SD卡資料有外洩危險

下述轉載自此篇新聞: Android瀏覽器新漏洞 SD卡資料有外洩危險

該漏洞可能讓使用者不知情的狀況之下傳送包含惡意程式的檔案到SD記憶卡中,並利用JavaScript開啟及傳送其他檔案到其他地方。

英國資安專家Thomas Cannon指出,Android內建的瀏覽器可能遭網站利用,竊取使用者的檔案。該漏洞可能影響Android 2.2及之前的版本

Thomas Cannon使用模擬器製作一段影片說明該漏洞,使用者如果使用內建瀏覽器開啟惡意網頁,該網頁可以在使用者不知情的狀況之下傳送包含惡意程式的檔案到SD記憶卡中,並利用JavaScript開啟及傳送其他檔案到其他地方。他也在執行Android 2.2的宏達電渴望機中驗證過該漏洞。

雖然必須事先知道想要偷取的檔案名稱,但因為Android的照相、錄影、錄音等程式的預設路徑、檔案名稱是固定的,因此駭客可以很容易取得需要的檔案。幸運的是該漏洞存在於瀏覽器,所以是在沙箱中執行,不能像其他惡意程式取得最高階管理人權限(Root),因此只有SD記憶卡與少部分資料可能被盜。

Thomas Cannon已經向Google提報該漏洞,並在20分鐘內獲得回應,Google準備在代號「薑餅人」的Android 2.3中修正。不過這恐怕無濟於事,因為個別手機機種的更新檔案由手機廠商提供,導致使用者可能永遠無法取得更新。

建議無法取得更新的使用者必須注意不要開啟無故出現的下載完成通知以免受害,也可以把瀏覽器的JavaScript功能關閉,或者換用其他可以自行更新的瀏覽器如Opera、Firefox、Skyfire等。Google曾經建議卸除(unmount)SD記憶卡,不過會影響部分功能。

此漏洞的示範影片: http://vimeo.com/17030639

在文章內的解法 與 問題

在文章內提到的解法, 好像都不太好, 在此把問題簡單列出.

  1. 把瀏覽器的JavaScript功能關閉 - 除了不知道怎麼關外, 關掉的話, 還有幾個網頁可以動?
  2. 換用其他可以自行更新的瀏覽器如Opera、Firefox、Skyfire - 是個解法, (感覺好像是IE6有安全性問題時的處理方式, 有點糟糕), 所以建議要換瀏覽器. (Android 瀏覽器可以出 app 更新嗎?)
  3. Google曾經建議卸除(unmount)SD記憶卡,不過會影響部分功能 - 手機天天在叫容量爆滿, 只好把所有程式搬到 SD 卡, 只留下部份必要的程式 在手機裡面, 若卸除SD卡... 這....
  4. 現在只能等 HTC 升級 2.3? 還是有其他更好的解法嗎?

關於 Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.
本篇發表於 News_Security。將永久鏈結加入書籤。

Android 瀏覽器 2.2之前版本的漏洞, 可能造成SD卡資料外洩 有 3 則回應

  1. ANDY 說道:

    感謝你的內容分享,不過android的內件瀏覽器應該不會是MS的IE6歐...應該是CHROME之類的

  2. Tsung 說道:

    呃, 一定不會是 IE6, 我的意思是, 這問題就像是大家在用 IE6 時, 遇到安全問題一樣. XD
    是我的說法不太好, 造成誤會, 我來修正一下, 感謝~ 🙂

  3. Nikki 說道:

    我也覺得這是目前及未來智慧型手機最大的問題:應用越來越多,漏洞也越來越多。iOS還有Apple來負責(雖然目前看來封閉原始碼問題也不少),Windows Mobile、Android手機商們誰在做patch? 而且大眾關心可否升級(WM6.5→7、Android 2.1→2.2→2.3)的不少,但patch明明更重要的多卻不多人關注 Orz

發表迴響