Wie der Sicherheitsexperte Thomas Cannon experimentell ermittelt hat, können von Dritten Daten von der eigenen SD-Karte auf dem Android Smartphone ausgelesen werden. Auch bei dem internen Speicher scheint das möglich zu sein.
Der Sicherheitsexperte beschreibt die Vorgehensweise so: Wird auf eine bestimmte Webseite mit dem Android Smartphone gesurft und ein Download von dieser Seite getätigt, werden automatisch benötigte HTML-Dateien in das SD-Karten Verzeichnis „/sdcard/download/“ geladen. Öffnet man diese HTML-Datei dann von der SD-Karte, führt Android eventuell in der Datei enthaltenen Javascript-Code aus. Dieser Vorgang wird mit vorhandenen Zugriffsrechten ausgeführt. So hat der ausgeführte Javascript-Code Zugriff auf andere abgelegte Daten. Dieser Datenklau funktioniert nur dann, wenn der exakte Download Pfad in dem sich die zu stehlende Datei gespeichert ist, bekannt ist. An Systemdateien kommt der Dieb nicht, da die dazu notwendigen Zugriffsrechte fehlen.
Android Data Stealing Vulnerability from Thomas Cannon on Vimeo.
Der Sicherheitsexperte ist der Meinung, dass auch die Android Version 2.2 betroffen ist. Das Android Team arbeitet bereits an einem Patch. Problem ist jedoch die schleppende Update Politik mancher Hersteller.
Man sollte darauf achten, von welcher Webseite man was „downloadet“. Im Browser kann man in den Einstellungen Javascript deaktivieren. Möglicherweise funktionieren nach der Aktivierung andere „harmlose“ Webseiten nicht richtig, da in diesen Javascript-Code verwendet wird.
Das könnte Sie auch interessieren: