Tietoturva-aukon väärinkäyttö vaatii surffaajan johdattamisen sopivasti muokatulle internet-sivustolle, jolloin selain voi lähettää muistikortilta löytyviä tiedostoja halutulle palvelimelle Javascriptin avulla.
Aukon hyödyntäminen vaatii kuitenkin käytännössä tiettyjä sovelluksia vastaan tehtyjä iskuja, sillä selain ei näe SD-muistikortilla olevia tiedostoja, joten lähetettävän tiedoston nimi ja sijainti pitää tietää ennakkoon. Lisäksi Androidin tietoturvaa parantava hiekkalaatikko estää pääsyn puhelimen omiin tiedostoihin, joten esim. yhteystietojen vieminen osoitekirjasta ei onnistu.
Cannon ilmoitti ongelmasta Googlelle, joka korjaa parhaimmillaan aukkoa. Aukko vaivaa ainakin Androidin 2.2-versiota (Froyo), ja sen toimivuus on testattu virallisella emulaattorilla ja HTC:n Desire-puhelimella. Googlen mukaan korjaus tulee jakeluun 2.2-versiolle kunhan uusi Android 2.3 -versio (Gingerbread) saadaan ensin ulos.
Monien Android-puhelimien omistajille Googlen paikkauksista ei ole kuitenkaan hyötyä, koska useimmat puhelinvalmistajat eivät päivitä Android-puhelimiensa ohjelmistoja tarpeeksi usein, jonka lisäksi vanhemmat laitteet eivät välttämättä saa enää lainkaan päivityksiä.
Tietoturva-aukon voi onneksi tässä tapauksessa välttää esim. käyttämällä toista selainta tai ottamalla oletusselaimesta Javascript-tuen pois päältä.
Alla aukon hyväksikäyttöä esittelevä video
Kommentit (14)
Reikiä reikiä, mielummin selaan vähän hitaammin ja turvallisesti, kuin täillä seulalla.
N8 FTW! ;D
1@
>Reikiä reikiä, mielummin selaan vähän hitaammin ja turvallisesti,
>kuin täillä seulalla.
Jokainen tietenkin surffailee Javascriptit sun muut poispäältä, lukuunotamatta jotain luetettuja palveluita jos tuesta riittävästi lisäarvoa.
@1 Jokainen toki tyylillään, kyllä mieluummin surffaan nopealla, onhan se huomattavasti mielekkäämpää kun käyttää jotain tahmaavaa selainta. Sama jos palais käyttämään jotain pentium 1 tässä yhtäkkiä. No thanks!
Odotinkin löytäväni Ergon ekana kommentoimassa. Vaikka kuinka olisit Nokia fanaatikko, ei se sitä Androidin suosiota tule kääntämään täällä trollailemassa Androidin heikkouksia ja Nokian "vahvuuksia". Nokian Symbian nyt vaan on out. Ja sen selain vieläkin syv....
@4
Nokian selaimesta ei minullakaan mitään hyvää sanottavaa ole, mutta en paljon kehuisi androidinkaan selainta, eihän siinä saa edes kaikkia sivuja aukeamaan normaalista enkä ainakaan itse löydä mistään asetusta jolla saisi selaimen ohjautumisen mobiiliversio sivustolle estettyä...
pistäpä siihen vaikka www.youporn.com niin aina aukeaa se hemmetin mobiiliversio, ihan hanurista...
@5
Vastaa
Internet -> menu -> more -> Settings -> Mobile view täppä pois niin pääset ihan kunnon youporn sivulle ;)
Helppo huudella kun ei osata edes käyttää luuria ;D ?
@6
milestone ja android 2.1 eikä kyllä vakioselaimesta kyseistä asetusta löydy... ettet vaan itse nyt sekoita operan tai dolphinin ja vakioselaimen asetukset keskenään?
Huutele vaan lisää
@6
Siis eihän Androidissa pitänyt olla näitä "valikkohelvettejä" kuten Nokian vehkeissä.
Miettikääs jokainen hetki tuota sekvenssiä. Eihän siinä ole päätä eikä häntää. Menu->more takaa löytyy settings??
Desirestä 2.2 androidilla ainakin löytyy internet asetuksista kyseinen nappi mobile viewille. Vakio selaimesta siis.
Ihme ja kumma jos milestonesta ei sitä löydy. Tuskin tämä mikään 2.2:n ominaisuus on...
@8
Menun takaa löytyy selaimessa kirjainmerkit, välilehdet, eteen/taakse napit, lisää välilehti ja tuo more jonka takana vielä on astukset.
Sisänsä nuo on kyllä aika pitkän matkan takana nuo internet asetukset. Yleensä ei ole noin "monimutkaista". Kyseessä siis HTC Desire.
"
Internet -> menu -> more -> Settings -> Mobile view täppä pois niin pääset ihan kunnon youporn sivulle ;)
Helppo huudella kun ei osata edes käyttää luuria ;D ? "
Jep näkeehän tostakin kuin sekavat ne Symbianin valikot on, ei monet osaa niitä käyttää.. Eiku oho Android :)
Onhan se tietysti erittäin epäloogista klikata sitä "lisää" vaihtoehtoja, kun ruutu on muuten täynnä valintoja. Kyllä saa jo idiootti olla, jollei sitä tajua. Sitten täytyy jo olla aika hukassa Symbian vehkeiden kanssa.
http://i52.tinypic.com/2qsbbma.jpg
http://i51.tinypic.com/3151zib.jpg
Juu ei kyllä tosiaan näytä Motorola Milestonesta löytyvän valintaa "Mobile View" default selaimesta, eli turhaa idioottienkaan neuvoa mistä se "more" painike löytyy kun sen takaa ei löydy mobile view valintaa, löytyy kyllä Load Images, Auto-fit pages, Landscape-only display, mutta ei tuota.
Jäi vaivaamaan tuo erilaisuus htc:n ja motorolan vakio selaimissa, ja hieman googlettamalla näyttäisi siltä että ei se htc desiren selain ole androidin vakio selain vaan htc:n oma viritys...
eli ota näistä selvää kun ei näytä itse android välkytkään tietävän mikä on androidin oma selain ja mikä ei.