您的位置: 首页 >>Android安卓资讯 >>Android 2.3将修复一个数据窃取漏洞

Android 2.3将修复一个数据窃取漏洞

发表时间:2010/11/25 17:46 | 0条评论 | 作者 : 小机器人

代号“姜饼”的Android2.3系统将修复现有系统中的一个数据窃取漏洞,Android2.3系统预计近期将开放下载。谷歌Android安全小组目前正在着手修补这个浏览器数据窃取漏洞,这个漏洞可以使网站未经授权就可以访问Android设备内存卡中的存储 文件。这个漏洞最先由托马斯·坎农(Thomas Cannon)发现。他表示,自动文件下载、JavaScript和microSD访问政策加在一起,在浏览器或电子邮件中点击某些HTML页面,用户的 隐私数据可能会被窃取。

不过这个漏洞实现起来要有特定条件,关键是第三方必须知道他们想偷窃的文件名称。不过由于许多Android设备都遵循照片和视频文件的标准化命名方式,窃取方可能也找不到什么。

坎农描述漏洞实现过程如下:

Android浏览器在下载payload.html等文件时不会告知用户,而是自动下载存储至/sdcard/download。 使用JavaScript让这个payload文件自动打开,使浏览器显示本地文件。

用户在这种本地环境下打开一个HTML文件,Android浏览器会在不告知用户的情况下自动运行JavaScript。而在这种本地环境下,JavaScript就能够读取文件内容和其他数据。

该缺陷已经被安全网站海瑟安全(Heise Security)独立证实,而现在最好的建议是要警惕可疑网站、电子邮件中的HTML链接或Android通知栏中突然弹出的下载。在手机升级到Android2.3系统前,用户必须小心。

发表评论

已有0人发表评论

禁言中,解封时间为:1小时

@ 您还能留下2000个脚印 如何上热评?

热门评论

最新评论

阴阳师
@ 您还能留下2000个脚印
提示

本游戏安装包为DPK数据包,推荐您使用当乐App安装。

机型匹配

您的手机型号未能匹配成功,请选择以下安装包进行下载。

机型匹配

您的手机型号未能匹配成功,请选择以下安装包进行下载。

机型匹配/下载

下载已成功

知道了

设置机型

您的手机机型是:

请选择手机品牌
请选择手机型号
完成 没找到匹配的机型?

将使用当乐App电脑版为您免费安装

安装流程:

1.下载安装当乐App电脑版

2.选择应用,点击安装到手机

3.连接手机到电脑,自动安装

立即下载当乐APP

将使用当乐App电脑版为您免费安装

还未安装
下载客户端
我已安装
启动客户端安装

登录

登录后才能收藏哦!

立即登录