Знак безопасности, обнаруженный в G1 Google Phone

Исследователи независимых экспертов по оценке безопасности заявили, что обнаружили уязвимость в браузере Android, которая может заставить пользователей телефонов с браузером уязвимы для атак.

Android, программное обеспечение с открытым исходным кодом Google, которое в настоящее время только исследователи говорят, что работающий на одном телефоне HTC G1 основан на устаревших компонентах с открытым исходным кодом. В результате уязвимость, которую они обнаружили, была ранее известна и исправлена, но Google не включила исправление в Android, говорят они.

G1 поступит в продажу в прошлую среду от T-Mobile USA, и Google опубликовал источник код за Android во вторник. Ожидается, что в будущем другие производители, включая Motorola, также выпустят телефоны под управлением Android.

На веб-странице для ISE Чарли Миллер, Марк Дэниел и Джейк Онорофф писали, что они не будут раскрывать информацию об уязвимости до тех пор, пока Google не установит Это. Тем не менее, они говорят, что пользователи Android, посещающие вредоносные веб-сайты, могут обнаружить, что их конфиденциальная информация украдена. Это связано с тем, что злоумышленник может получить доступ к любой информации, которую использует сайт, включая сохраненные пароли, информацию, введенную в форму веб-приложения, и файлы cookie.

Исследователи также говорят, что влияние атаки ограничено из-за архитектуры безопасности Android. Злоумышленник не может, например, контролировать функции телефона, такие как дозвонщик.

Google заявила, что разрабатывает решение проблемы. «Мы работаем с T-Mobile, чтобы включить исправление для эксплойта браузера, которое скоро будет передано по воздуху всем устройствам, и обратились к нему на платформе с открытым исходным кодом Android. Безопасность и конфиденциальность наших пользователей первостепенное значение для Android Open Source Project - мы не считаем, что этот вопрос негативно повлияет на них », - говорится в заявлении компании. Он сказал, что не сказал, когда ожидают выхода из обновления.

Исследователи говорят, что 20 октября они уведомили Google о проблеме.

В инциденте возникают вопросы о потенциальных трудностях, с которыми может столкнуться сообщество Android в будущем, Поскольку Google принял открытую модель с Android, многие поставщики и операторы в будущем могут предлагать различные телефоны, каждый из которых может иметь несколько разные версии операционной системы. Если в будущем будут обнаружены уязвимости, производители телефонов и операторы должны будут определить, влияет ли их версия программного обеспечения, а затем скоординирует распределение исправлений с пользователями.