Ha sido haya por Thomas Cannon una vulnerabilidad en Android que permite la obtención de datos de la tarjeta SD. Esta vulnerabilidad, de la cual nos hemos enterado gracias al INTECO (Instituto Nacional de Tecnologías de la Comunicación) afecta al navegador Web integrado en el propio sistema operativo (Android 2.2 Froyo o inferior).
Se basa en que Android no informa cuando un fichero es descargado, si lo juntamos a que desde una página Web se podría abrir dicho fichero, éste último se ejecutaría con permisos locales, lo que le daría acceso al resto de sistema de ficheros. Siendo así, sabiendo un fichero de nombre o ruta previsible podría cargarlo y poder reportar los datos a su aplicación.
Yendo más allá, esta última podría tener acceso incluso a las cookies, historial o marcadores, pudiendo obtener así incluso las contraseñas de este.
Posible solución
En Android 2.3 Ginberbread ya está solucionado pero para el resto de dispositivos tan solo podremos prevenir este ataque evitando el uso del navegador por defecto y recomiendan el uso de otros navegadores como Firefox 4 u Opera. Ya que estos pueden ser actualizados de forma independiente del sistema operativo.
Por otra parte recomiendan no usar aplicaciones terceros que no se encuentren en el Market. Además añaden que, como deberíamos saber por sentido común, no abrir enlaces de orígenes desconocidos.
Esto, junto con los problemas de privacidad de mucha apps del Android Market me deja cada ves con menos ganas de instalar apps en mi Android. Cuando leí el informe del Wall Street Journal se me fueron las ultimas ganas. Parece que el negocio de algunas apps como Angry Birds, Paper Toos, Talking Tom Cat, es vender nuestros datos. Asi se mantienen parece. Hay aplicaciones que su version Pro no lo hacen, pero su versin free si. De alguna manero Google es complice, porque, primero, lo permiten, segundo, lo siguen permitiendo, tercero, las descripcion de los permisos de la app es muy general y desde el market nunca terminas sabiendo realmente que es lo que puede llegar a hacer la app. Por mi parte desinstale estas apps y estoy reticente de instalar algo asi nomas.