De Britse beveiligingsexpert Thomas Cannon heeft een lek in de browser in Android ontdekt die tot misbruik van gebruiksgegevens kan leiden. Google heeft tegenover eWeek Europe bevestigd dat het werkt aan het repareren van de kwetsbaarheid in de Android-browser.

Het lek laat een malafide website de inhoud van elk bestand op de SD-geheugenkaart in Android-telefoons benaderen en een 'beperkte hoeveelheid' andere gegevens op het telefoongeheugen, aldus Cannon.

Geen downloadwaarschuwing

Het probleem is ernstig omdat de Android-browser bij deze exploit gebruikers niet waarschuwt als ze een bestand beginnen te downloaden. De browser slaat de download automatisch op in een map op de SD-kaart. Via Javascript is deze automatisch te openen en is de inhoud terug te uploaden naar de malafide website waar de exploit op staat.

"Het is een simpele exploit met Javascript-code en redirects. Daardoor werkt het op meerdere toestellen en diverse Android-versies", aldus Cannon. Hij vond het lek in elk geval in de versies 2.2, 1.5 en 1.6 van Android.

Bestandsnamen

De Duitse techsite Heise Security wist de exploit al te reproduceren met gebruik van een Google Nexus One en een Samsung Galaxy Tab, die werkten met versies 2.2 van Android.

Een beperking van de exploit is dat de aanvaller de naam en het pad van het bestand dat hij wil stelen moet weten. "Diverse apps slaan gegevens echter altijd met dezelfde bestandnamen op de SD-kaart op. Ook afbeeldingen hebben altijd dezelfde bestandsnamen", waarschuwt Cannon. Hij heeft een filmpje van zijn proof-of-concept gepubliceerd.

Android 2.3

Mogelijk heeft Google het lek nog niet gedicht in de aanstaande update van Android. Deze versie 2.3, bijgenaamd Gingerbread, wordt een van de komende weken verwacht.

Bron: Techworld