代號“姜餅”的Android2.3系統(tǒng)將修復現(xiàn)有系統(tǒng)中的一個數(shù)據(jù)竊取漏洞，Android2.3系統(tǒng)預計近期將開放下載。谷歌Android安全小組目前正在著手修補這個瀏覽器數(shù)據(jù)竊取漏洞，這個漏洞可以使網(wǎng)站未經(jīng)授權就可以訪問Android設備內(nèi)存卡中的存儲 文件。這個漏洞最先由托馬斯·坎農(nóng)（Thomas Cannon）發(fā)現(xiàn)。他表示，自動文件下載、JavaScript和microSD訪問政策加在一起，在瀏覽器或電子郵件中點擊某些HTML頁面，用戶的 隱私數(shù)據(jù)可能會被竊取。

不過這個漏洞實現(xiàn)起來要有特定條件，關鍵是第三方必須知道他們想偷竊的文件名稱。不過由于許多Android設備都遵循照片和視頻文件的標準化命名方式，竊取方可能也找不到什么。

坎農(nóng)描述漏洞實現(xiàn)過程如下：

Android瀏覽器在下載payload.html等文件時不會告知用戶，而是自動下載存儲至/sdcard/download。 使用JavaScript讓這個payload文件自動打開，使瀏覽器顯示本地文件。

用戶在這種本地環(huán)境下打開一個HTML文件，Android瀏覽器會在不告知用戶的情況下自動運行JavaScript。而在這種本地環(huán)境下，JavaScript就能夠讀取文件內(nèi)容和其他數(shù)據(jù)。

該缺陷已經(jīng)被安全網(wǎng)站海瑟安全（Heise Security）獨立證實，而現(xiàn)在最好的建議是要警惕可疑網(wǎng)站、電子郵件中的HTML鏈接或Android通知欄中突然彈出的下載。在手機升級到Android2.3系統(tǒng)前，用戶必須小心。

【編輯推薦】

1. 企業(yè)Android安全：移動手機數(shù)據(jù)保護建議
2. Android內(nèi)核被曝存在88個高危漏洞
3. Google多款產(chǎn)品現(xiàn)安全漏洞 可泄露Gmail信息
4. Firefox暴嚴重零日漏洞 已被攻擊者利用