Android系統(tǒng)在智能手機(jī)和平板機(jī)市場迅速崛起的同時，安全問題也更加引人注目，近日一個涉及到全版本Android系統(tǒng)的惡意漏洞被公布，而這一漏洞很可能就是Google延遲發(fā)布Android 2.3版系統(tǒng)的原因。

　　信息安全研究人員Thomas Cannon今天將這一漏洞公布于世，借助這個新的漏洞，惡意攻擊者可以在引誘用戶打開惡意網(wǎng)頁，手機(jī)內(nèi)置的瀏覽器就會下載并執(zhí)行一個Javascript木馬，該木馬可以獲取SD卡上指定的文件。

　　Thomas Cannon在幾天前已經(jīng)通知了Google，Android開發(fā)團(tuán)隊(duì)在20分鐘內(nèi)做出了回應(yīng)，并表示已經(jīng)針對該漏洞展示工作，將會在即將公布的Android 2.3版操作系統(tǒng)中進(jìn)行修復(fù)。

　　但是這樣的修復(fù)并不能拯救全部的Android設(shè)備，因?yàn)樵?.3版系統(tǒng)發(fā)布之后只有少量機(jī)型能獲取更新，數(shù)以千萬計的Android設(shè)備要么不能更新2.3版系統(tǒng)，要么運(yùn)行有廠商制作的自定用戶界面系統(tǒng)，威脅仍會存在。Google應(yīng)該做的是針對不同版本系統(tǒng)推出單獨(dú)的瀏覽器升級或者修復(fù)補(bǔ)丁，才能將惡意網(wǎng)頁木馬拒之門外。

　　以下為Thomas Cannon公布的漏洞詳情：

　　在一天晚上對Android系統(tǒng)進(jìn)行應(yīng)用程序安全評估的時候，Thomas Cannon發(fā)現(xiàn)了一個全版本普遍存在的漏洞，惡意網(wǎng)站將可以獲取任何SD卡上存儲的文件。

　　該漏洞的存在有多種因素，具體的實(shí)施過程為：

　　- Android內(nèi)置瀏覽器不提示用戶靜默下載一個文件，比如“payload.html”，改文件會自動下載到 /sdcard/download/payload.html目錄

　　- 通過Javascript運(yùn)行該文件，并在Android瀏覽器中顯示這個本地文件，運(yùn)行過程沒有任何提示

　　- 成功打開時候，Javascript將可以閱讀任何本地文件內(nèi)容和其他數(shù)據(jù)

　　一旦Javascript獲取某個文件內(nèi)容之后，木馬將擁有自動發(fā)送的功能和權(quán)限，將獲取的文件發(fā)送至指定位置。

　　目前該漏洞也存在的限制，攻擊者必須指定要盜取的文件的路徑和名稱，比如要偷取用戶的照片，就必須指定照片文件夾和文件名。不過這樣的限制并不能困住攻擊者，因?yàn)榇蟛糠值氖謾C(jī)都會默認(rèn)某一類文件的目錄和存儲名稱，攻擊者只需要按照系統(tǒng)默認(rèn)設(shè)置手動指定即可。

　　另外一個限制就是不能像ROOT瀏覽器那樣訪問Android系統(tǒng)內(nèi)的受保護(hù)數(shù)據(jù)，只能在沙箱中運(yùn)行，文件訪問范圍為SD卡或者其他少量數(shù)據(jù)。

　　目前大家能做的也就是不要用手機(jī)訪問不明網(wǎng)站，還有拍照一定用相機(jī)，千萬別用手機(jī)。