Der britische IT-Sicherheitsexperte Thomas Cannon weist in seinem Blog auf eine Sicherheitslücke im Betriebssystem Android hin, die es über den Aufruf einer präparierten HTML-Seite im Browser erlaubt, Zugriff auf lokale Dateien (z. B. auf einer eingelegten SD-Karte) zu gewinnen. Google ist über das Problem informiert, wird die Lücke aber nicht kurzfristig schließen.
Das Leck tritt offenbar bei allen Android-Versionen (einschließlich Froyo) auf – sagt zumindest heise online. Ein Zugriff auf Systemverzeichnisse ist über den Browser nicht möglich, da dieser abgeschirmt in einer Sandbox läuft. Kennt ein Angreifer den kompletten Pfad und den Namen einer Datei auf einem Android-Gerät, kann er diese unter Ausnutzung der Lücke von dort „herunterladen“. Hierbei kann es sich neben Fotos auch z. B. um sensible Anwendungsdaten handeln.
heise konnte den Prozess reproduzieren. Eine auf der Speicherkarte eines Testgeräts liegende Textdatei wurde nach dem Aufruf einer von Cannon bereitgestellten Seite im Browser auf dessen Server übertragen. Die präparierte Seite ließ den Browser hierzu eine HTML-Datei herunterladen und leitete ihn dann auf diese um. Da die Datei lokal verfügbar war, wurde sie mit lokalen Rechten ausgeführt, was dem enthaltenen JavaScript erlaubte auf das Dateisystem des Geräts zuzugreifen und die angeforderte Datei zu übertragen. Hierzu gibt es auch eine Video-Demo.
Vom Herunterladen der speziellen HTML-Datei bekommt der Nutzer fast nichts mit. Im Browser erscheint lediglich ganz kurz eine Meldung, die aber sofort wieder verschwindet. Daher kann man sein Android-Gerät momentan nur vor solchen Angriffen schützen, indem man JavaScript deaktiviert oder einen alternativen Browser (wie Opera Mobile) verwendet, der vor dem Download von Dateien zunächst fragt. Es gäbe allerdings auch andere Wege, die schädliche Datei einzuschleusen – z. B. als Mail-Anhang.
Google hat bereits einen Patch entwickelt, der die Sicherheitslücke schließen kann. In der kommenden Android-Version 2.3 (Gingerbread) wird er nicht enthalten sein. Es kann noch eine Weile dauern, bis ein entsprechendes Update verfügbar ist.