Tietoturva-aukon väärinkäyttö vaatii surffaajan johdattamisen sopivasti muokatulle internet-sivustolle, jolloin selain voi lähettää muistikortilta löytyviä tiedostoja halutulle palvelimelle Javascriptin avulla.
Aukon hyödyntäminen vaatii kuitenkin käytännössä tiettyjä sovelluksia vastaan tehtyjä iskuja, sillä selain ei näe SD-muistikortilla olevia tiedostoja, joten lähetettävän tiedoston nimi ja sijainti pitää tietää ennakkoon. Lisäksi Androidin tietoturvaa parantava hiekkalaatikko estää pääsyn puhelimen omiin tiedostoihin, joten esim. yhteystietojen vieminen osoitekirjasta ei onnistu.
Cannon ilmoitti ongelmasta Googlelle, joka korjaa parhaimmillaan aukkoa. Aukko vaivaa ainakin Androidin 2.2-versiota (Froyo), ja sen toimivuus on testattu virallisella emulaattorilla ja HTC:n Desire-puhelimella. Googlen mukaan korjaus tulee jakeluun 2.2-versiolle kunhan uusi Android 2.3 -versio (Gingerbread) saadaan ensin ulos.
Monien Android-puhelimien omistajille Googlen paikkauksista ei ole kuitenkaan hyötyä, koska useimmat puhelinvalmistajat eivät päivitä Android-puhelimiensa ohjelmistoja tarpeeksi usein, jonka lisäksi vanhemmat laitteet eivät välttämättä saa enää lainkaan päivityksiä.
Tietoturva-aukon voi onneksi tässä tapauksessa välttää esim. käyttämällä toista selainta tai ottamalla oletusselaimesta Javascript-tuen pois päältä.
Alla aukon hyväksikäyttöä esittelevä video
Kommentit (9)
Reikiä reikiä, mielummin selaan vähän hitaammin ja turvallisesti, kuin täillä seulalla.
N8 FTW! ;D
Odotinkin löytäväni Ergon ekana kommentoimassa. Vaikka kuinka olisit Nokia fanaatikko, ei se sitä Androidin suosiota tule kääntämään täällä trollailemassa Androidin heikkouksia ja Nokian "vahvuuksia". Nokian Symbian nyt vaan on out. Ja sen selain vieläkin syv....
@5
Vastaa
Internet -> menu -> more -> Settings -> Mobile view täppä pois niin pääset ihan kunnon youporn sivulle ;)
Helppo huudella kun ei osata edes käyttää luuria ;D ?
Desirestä 2.2 androidilla ainakin löytyy internet asetuksista kyseinen nappi mobile viewille. Vakio selaimesta siis.
Ihme ja kumma jos milestonesta ei sitä löydy. Tuskin tämä mikään 2.2:n ominaisuus on...
@8
Menun takaa löytyy selaimessa kirjainmerkit, välilehdet, eteen/taakse napit, lisää välilehti ja tuo more jonka takana vielä on astukset.
Sisänsä nuo on kyllä aika pitkän matkan takana nuo internet asetukset. Yleensä ei ole noin "monimutkaista". Kyseessä siis HTC Desire.
"
Internet -> menu -> more -> Settings -> Mobile view täppä pois niin pääset ihan kunnon youporn sivulle ;)
Helppo huudella kun ei osata edes käyttää luuria ;D ? "
Jep näkeehän tostakin kuin sekavat ne Symbianin valikot on, ei monet osaa niitä käyttää.. Eiku oho Android :)
Onhan se tietysti erittäin epäloogista klikata sitä "lisää" vaihtoehtoja, kun ruutu on muuten täynnä valintoja. Kyllä saa jo idiootti olla, jollei sitä tajua. Sitten täytyy jo olla aika hukassa Symbian vehkeiden kanssa.
http://i52.tinypic.com/2qsbbma.jpg
http://i51.tinypic.com/3151zib.jpg
Juu ei kyllä tosiaan näytä Motorola Milestonesta löytyvän valintaa "Mobile View" default selaimesta, eli turhaa idioottienkaan neuvoa mistä se "more" painike löytyy kun sen takaa ei löydy mobile view valintaa, löytyy kyllä Load Images, Auto-fit pages, Landscape-only display, mutta ei tuota.
Jäi vaivaamaan tuo erilaisuus htc:n ja motorolan vakio selaimissa, ja hieman googlettamalla näyttäisi siltä että ei se htc desiren selain ole androidin vakio selain vaan htc:n oma viritys...
eli ota näistä selvää kun ei näytä itse android välkytkään tietävän mikä on androidin oma selain ja mikä ei.