El equipo de seguridad de Google Android están trabajando en una solución para un exploit que puede dar acceso a sitios web no oficiales, y que ademas permite el acceso a los archivos almacenados en la tarjeta de memoria de un dispositivo Android.
Esto ya estaba abordado en la inminente versión 2.3 de Android, la hazaña fue identificada por Thomas Cannon, quien encontró que gracias a una combinación de descargas de archivos automática, un JavaScript con las políticas de acceso al microSD haciendo clic en determinados HTML (ya sea en el navegador o en un e-mail) los usuarios accidentalmente podría dar acceso a sus datos privados.
Existen algunas limitaciones al exploit, sobre todo que el tercero debe conocer los nombres de los archivos que se intenta robar. Sin embargo, desde muchos dispositivos siguen patrones estandarizados de nomenclatura para archivos como fotos y vídeos, que no puede ser demasiado complejo obtener después de un poco de investigación. Cannon, describe el proceso de la siguiente manera:
- El navegador de Android no solicita al usuario al descargar un archivo, por ejemplo “prueba.html”, se descarga automáticamente a / sdcard / download / prueba.html
- Es posible, usando JavaScript, obtener esta capacidad de carga para abrir de forma automática, haciendo que el navegador muestre el archivo local.
- Cuando se abre un archivo HTML dentro de este contexto local, el navegador de Android se ejecutará el JavaScript sin preguntar al usuario.
- Si bien en este contexto local, el código JavaScript es capaz de leer el contenido de los archivos y otros datos.
El fallo ha sido verificado independientemente por Heise Security, y ahora mismo el mejor consejo es tener cuidado con sitios web de aspecto sospechoso, enlaces HTML en los correos electrónicos de los usuarios que no saben, o descargas inesperadas de repente apareciendo en la barra de notificación de Android.
[Fuente Android Community]