Android 或者各種瀏覽器、作業系統 等等, 都是有可能出現漏洞, 但是今天看到的新聞, 似乎 Open Source 散佈後, 會遇到的嚴重問題.
Open Source 的好處是看得到 Source code, 所以大家都可以改, 可以 fork 自己的版本 (在此先不討論授權問題), 但是, 同樣另一個問題就是, 會有很多不同得版本出現, 這沒有好壞, 但是, 看到這篇新聞, 有幾個問題是比較嚴重的:
- 該漏洞可能影響Android 2.2及之前的版本, "Google準備在代號「薑餅人」的Android 2.3中修正", 那 2.2版以前 的 該怎麼辦?
- 就算 Google 若在 2.2 版修正, 但是其他廠商(ex: HTC) 沒有修正, 還是一樣沒救.
新聞 - Android瀏覽器新漏洞 SD卡資料有外洩危險
下述轉載自此篇新聞: Android瀏覽器新漏洞 SD卡資料有外洩危險
該漏洞可能讓使用者不知情的狀況之下傳送包含惡意程式的檔案到SD記憶卡中,並利用JavaScript開啟及傳送其他檔案到其他地方。
英國資安專家Thomas Cannon指出,Android內建的瀏覽器可能遭網站利用,竊取使用者的檔案。該漏洞可能影響Android 2.2及之前的版本。
Thomas Cannon使用模擬器製作一段影片說明該漏洞,使用者如果使用內建瀏覽器開啟惡意網頁,該網頁可以在使用者不知情的狀況之下傳送包含惡意程式的檔案到SD記憶卡中,並利用JavaScript開啟及傳送其他檔案到其他地方。他也在執行Android 2.2的宏達電渴望機中驗證過該漏洞。
雖然必須事先知道想要偷取的檔案名稱,但因為Android的照相、錄影、錄音等程式的預設路徑、檔案名稱是固定的,因此駭客可以很容易取得需要的檔案。幸運的是該漏洞存在於瀏覽器,所以是在沙箱中執行,不能像其他惡意程式取得最高階管理人權限(Root),因此只有SD記憶卡與少部分資料可能被盜。
Thomas Cannon已經向Google提報該漏洞,並在20分鐘內獲得回應,Google準備在代號「薑餅人」的Android 2.3中修正。不過這恐怕無濟於事,因為個別手機機種的更新檔案由手機廠商提供,導致使用者可能永遠無法取得更新。
他建議無法取得更新的使用者必須注意不要開啟無故出現的下載完成通知以免受害,也可以把瀏覽器的JavaScript功能關閉,或者換用其他可以自行更新的瀏覽器如Opera、Firefox、Skyfire等。Google曾經建議卸除(unmount)SD記憶卡,不過會影響部分功能。
此漏洞的示範影片: http://vimeo.com/17030639
在文章內的解法 與 問題
在文章內提到的解法, 好像都不太好, 在此把問題簡單列出.
- 把瀏覽器的JavaScript功能關閉 - 除了不知道怎麼關外, 關掉的話, 還有幾個網頁可以動?
- 換用其他可以自行更新的瀏覽器如Opera、Firefox、Skyfire - 是個解法, (感覺好像是IE6有安全性問題時的處理方式, 有點糟糕), 所以建議要換瀏覽器. (Android 瀏覽器可以出 app 更新嗎?)
- Google曾經建議卸除(unmount)SD記憶卡,不過會影響部分功能 - 手機天天在叫容量爆滿, 只好把所有程式搬到 SD 卡, 只留下部份必要的程式 在手機裡面, 若卸除SD卡... 這....
- 現在只能等 HTC 升級 2.3? 還是有其他更好的解法嗎?