Una grave vulnerabilità è stata identificata nel browser in uso sui dispositivi Android ed è già stata confermata da Google. Trattasi di una vulnerabilità di grave pericolosità potenziale, ma i ricercatori di Mountain View hanno confermato di essere già al lavoro per una risoluzione quanto più rapida possibile del problema.
La scoperta del problema è accreditata a Thomas Cannon, il quale spiega sul proprio sito web l’entità del problema senza tuttavia diramare informazioni utili allo sviluppo di un exploit in grado di colpire il bug scoperto. Cannon spiega da parte sua che un eventuale malintenzionato potrebbe essere in grado di accedere da remoto ai file contenuti nella card SD dello smartphone o anche ad un limitato quantitativo di altri dati conservati.
L’attacco, la cui efficacia sarebbe stata dimostrata anche su Android 2.2, può essere portato a compimento proponendo al browser apposito codice JavaScript, ma il problema è limitato un fattore importante: chi propone il codice di exploit deve conoscere l’esatto indirizzo del file di cui si intende entrare in possesso. Thomas Cannon propone anche un video a dimostrazione della propria scoperta:
[vimeo]http://vimeo.com/17030639[/vimeo]
La vulnerabilità sarebbe stata segnalata all’Android Security Team in data 19 novembre e, riconosce Cannon, la segnalazione ha ricevuto debita risposta nel giro di appena 20 minuti. Al tempo stesso nella propria analisi il ricercatore ricorda come tale vulnerabilità rischia di rimanere aperta per molto tempo su alcuni device, configurando pertanto un pericolo in divenire a prescindere dai tempi di intervento con cui Google interverrà sul problema (al momento irrisolto).