Pesquisadores da Universidade Estadual da Carolina do Norte (NC State) descobriram uma vulnerabilidade que permite a visualização não autorizada de arquivos salvos nos cartões de celulares com Android 2.3.
A vulnerabilidade foi descoberta por Xuxian Jiang, Professor Assistente do departamento de Ciência da Computação da Universidade. Segundo Jiang, o Android 2.2 possui uma vulnerabilidade semelhante a este que ele encontrou.
Changelogs confirmam que a vulnerabilidade havia sido corrigida na versão 2.3, mas segundo Jiang a correção implementada não é tão efetiva, permitindo que seja burlada.
Os pesquisadores demonstraram a vulnerabilidade através de um Nexus S, onde conseguiram obter uma listagem de todos os aplicativos instalados, enviar os aplicativos para um servidor remoto, e o mais preocupante, visualizar e enviar arquivos armazenados na pasta /sdcard. Jiang lembra que é necessário possuir o nome e o caminho exato para ter acesso aos arquivos.
A equipe responsável pela parte de segurança do Android já está ciente da vulnerabilidade, e garantiu que uma solução definitiva será aplicada no máximo até o próximo grande lançamento da família Android (Provavelmente o 3.0 Honeycomb).
Jiang recomenda a utilização de um browser diferente do padrão adotado no Android (como o Mozilla Firefox) ou que o usuário desabilite o javascript para evitar que tal vulnerabilidade possa ser explorada.
O Google deverá liberar patchs para correção de alguns dos problemas de segurança, mas os usuários finais dependerão da boa vontade das empresas para que adequem os patchs aos Androids embarcados nos aparelhos que estão a venda no mercado.
