Android系統在智能手機和平板機市場迅速崛起的同時，安全問題也更加引人注目，近日一個涉及到全版本Android系統的惡意漏洞被公布，而這一漏洞很可能就是Google延遲發布Android 2.3版系統的原因。

　　信息安全研究人員Thomas Cannon今天將這一漏洞公布于世，借助這個新的漏洞，惡意攻擊者可以在引誘用戶打開惡意網頁，手機內置的瀏覽器就會下載并執行一個Javascript木馬，該木馬可以獲取SD卡上指定的文件。

　　Thomas Cannon在幾天前已經通知了Google，Android開發團隊在20分鐘內做出了回應，并表示已經針對該漏洞展示工作，將會在即將公布的Android 2.3版操作系統中進行修復。

　　但是這樣的修復并不能拯救全部的Android設備，因為在2.3版系統發布之后只有少量機型能獲取更新，數以千萬計的Android設備要么不能更新2.3版系統，要么運行有廠商制作的自定用戶界面系統，威脅仍會存在。Google應該做的是針對不同版本系統推出單獨的瀏覽器升級或者修復補丁，才能將惡意網頁木馬拒之門外。

　　以下為Thomas Cannon公布的漏洞詳情：

　　在一天晚上對Android系統進行應用程序安全評估的時候，Thomas Cannon發現了一個全版本普遍存在的漏洞，惡意網站將可以獲取任何SD卡上存儲的文件。

　　該漏洞的存在有多種因素，具體的實施過程為：

　　- Android內置瀏覽器不提示用戶靜默下載一個文件，比如“payload.html”，改文件會自動下載到 /sdcard/download/payload.html目錄

　　- 通過Javascript運行該文件，并在Android瀏覽器中顯示這個本地文件，運行過程沒有任何提示

　　- 成功打開時候，Javascript將可以閱讀任何本地文件內容和其他數據

　　一旦Javascript獲取某個文件內容之后，木馬將擁有自動發送的功能和權限，將獲取的文件發送至指定位置。

　　目前該漏洞也存在的限制，攻擊者必須指定要盜取的文件的路徑和名稱，比如要偷取用戶的照片，就必須指定照片文件夾和文件名。不過這樣的限制并不能困住攻擊者，因為大部分的手機都會默認某一類文件的目錄和存儲名稱，攻擊者只需要按照系統默認設置手動指定即可。

　　另外一個限制就是不能像ROOT瀏覽器那樣訪問Android系統內的受保護數據，只能在沙箱中運行，文件訪問范圍為SD卡或者其他少量數據。

　　目前大家能做的也就是不要用手機訪問不明網站，還有拍照一定用相機，千萬別用手機。