Página Inicial



twitter

Facebook

  Notícia
|

 

FALHA NO NAVEGADOR WEB DO ANDROID EXPÕE DADOS DO USUÁRIO

25/11/2010 01:00:00

Uma vulnerabilidade no navegador Android pode permitir que um invasor roube dados do usuário, de acordo com um relatório divulgado na terça-feira (23/11) pelo especialista em segurança Thomas Cannon.

Na prática, um site malicioso poderia explorar a falha para acessar arquivos armazenados no cartão SD do aparelho, bem como ?em uma lista restrita de outros arquivos e dados armazenados no celular?, explicou Cannon.

O raiz do problema está no fato de que o navegador Android não pede permissão ao usuário quando baixa um arquivo. ?Este é um simples exploit envolvendo JavaScript e redirecionamentos, o que significa que também pode funcionar em diversos aparelhos e versões do Android, sem qualquer esforço?, acrescentou.

Um vídeo incluído no site de Cannon demonstra o exploit em ação, usando um emulador com Android 2.2, ou Froyo, mas o pesquisador disse ter descoberto o problema em um HTC Desire, também com Android 2.2.

A Heise Security foi capaz de reproduzir o exploit tanto num Google Nexus One quanto num Samsung Galaxy Tab, ambos rodando Android 2.2, de acordo com um informe publicado no The H.

Para o demo, Cannon criou primeiro um arquivo no cartão SD do aparelho Android. Em seguida, ele visitou uma página maliciosa e observou-a coletando um arquivo e transferindo-o a um servidor.

Medidas de proteção
A Equipe de Segurança do Android respondeu em 20 minutos à notificação da Cannon sobre a falha, e planeja entregar uma correção que será incluída num pacote de manutenção do
Gingerbread (próxima versão do Android) depois que ele estiver disponível, afirmou.

Uma correção inicial já foi desenvolvida e está agora sendo avaliada.

Enquanto isso, já que nem todos os fabricantes fornecem rapidamente atualizações para o Android, Cannon sugere alguns passos que os usuários podem seguir para se proteger, incluindo:

- Desabilitar JavaScript no navegador.

- Ficar atento a downloads automáticos suspeitos, que devem ser sinalizados na área de notificação. ?Ele não deverá ocorrer de forma totalmente silenciosa?, lembra Cannon.

- Usar um navegador ocmo o Opera Mobile, que pede autorização antes de baixar arquivos.

- Retirar o cartão SD.

A vantagem Android
Embora seja claramente uma vulnerabilidade que precisa ser resolvida, há boas notícias por trás da descoberta de Cannon.

Primeiro, ?não é um exploit de root, o que significa que ela só funciona dentro da caixa de areia do Android e, por isso, não pode pegar todos os arquivos?, ressaltou. O sistema expõe apenas os arquivos no SD e em ?um número limitado de outros locais?. As pastas de sistema permanecem intactas.

Segundo, ?você tem de saber o nome e a pasta do arquivo que você quer roubar?.

Em outras palavras, o root do Linux que é alma do Android serve para proteger o usuário de qualquer coisa maior que um dano local, e o dano local é limitado a arquivos cujos nomes e pastas são previsíveis ? tal como fotos tiradas com a câmera do aparelho.
 
 
 
Fonte: IdGNow

 
Indique esta notícia Indique esta notícia para um amigo

Início Notícias  | Voltar