Android系統(tǒng)在智能手機(jī)和平板機(jī)市場(chǎng)迅速崛起的同時(shí)，安全問(wèn)題也更加引人注目，近日一個(gè)涉及到全版本Android系統(tǒng)的惡意漏洞被公布，而這一漏洞很可能就是Google延遲發(fā)布Android 2.3版系統(tǒng)的原因。

　　信息安全研究人員Thomas Cannon今天將這一漏洞公布于世，借助這個(gè)新的漏洞，惡意攻擊者可以在引誘用戶打開惡意網(wǎng)頁(yè)，手機(jī)內(nèi)置的瀏覽器就會(huì)下載并執(zhí)行一個(gè)Javascript木馬，該木馬可以獲取SD卡上指定的文件。

　　Thomas Cannon在幾天前已經(jīng)通知了Google，Android開發(fā)團(tuán)隊(duì)在20分鐘內(nèi)做出了回應(yīng)，并表示已經(jīng)針對(duì)該漏洞展示工作，將會(huì)在即將公布的Android 2.3版操作系統(tǒng)中進(jìn)行修復(fù)。

　　但是這樣的修復(fù)并不能拯救全部的Android設(shè)備，因?yàn)樵?.3版系統(tǒng)發(fā)布之后只有少量機(jī)型能獲取更新，數(shù)以千萬(wàn)計(jì)的Android設(shè)備要么不能更新2.3版系統(tǒng)，要么運(yùn)行有廠商制作的自定用戶界面系統(tǒng)，威脅仍會(huì)存在。Google應(yīng)該做的是針對(duì)不同版本系統(tǒng)推出單獨(dú)的瀏覽器升級(jí)或者修復(fù)補(bǔ)丁，才能將惡意網(wǎng)頁(yè)木馬拒之門外。

　　以下為Thomas Cannon公布的漏洞詳情：

　　在一天晚上對(duì)Android系統(tǒng)進(jìn)行應(yīng)用程序安全評(píng)估的時(shí)候，Thomas Cannon發(fā)現(xiàn)了一個(gè)全版本普遍存在的漏洞，惡意網(wǎng)站將可以獲取任何SD卡上存儲(chǔ)的文件。

　　該漏洞的存在有多種因素，具體的實(shí)施過(guò)程為：

　　- Android內(nèi)置瀏覽器不提示用戶靜默下載一個(gè)文件，比如“payload.html”，改文件會(huì)自動(dòng)下載到 /sdcard/download/payload.html目錄

　　- 通過(guò)Javascript運(yùn)行該文件，并在Android瀏覽器中顯示這個(gè)本地文件，運(yùn)行過(guò)程沒(méi)有任何提示

　　- 成功打開時(shí)候，Javascript將可以閱讀任何本地文件內(nèi)容和其他數(shù)據(jù)

　　一旦Javascript獲取某個(gè)文件內(nèi)容之后，木馬將擁有自動(dòng)發(fā)送的功能和權(quán)限，將獲取的文件發(fā)送至指定位置。

　　目前該漏洞也存在的限制，攻擊者必須指定要盜取的文件的路徑和名稱，比如要偷取用戶的照片，就必須指定照片文件夾和文件名。不過(guò)這樣的限制并不能困住攻擊者，因?yàn)榇蟛糠值氖謾C(jī)都會(huì)默認(rèn)某一類文件的目錄和存儲(chǔ)名稱，攻擊者只需要按照系統(tǒng)默認(rèn)設(shè)置手動(dòng)指定即可。

　　另外一個(gè)限制就是不能像ROOT瀏覽器那樣訪問(wèn)Android系統(tǒng)內(nèi)的受保護(hù)數(shù)據(jù)，只能在沙箱中運(yùn)行，文件訪問(wèn)范圍為SD卡或者其他少量數(shù)據(jù)。

　　目前大家能做的也就是不要用手機(jī)訪問(wèn)不明網(wǎng)站，還有拍照一定用相機(jī)，千萬(wàn)別用手機(jī)。