Uma vulnerabilidade no Android 2.3 permite o roubo de dados pessoais e arquivos através de um link malicioso exibido no navegador padrão do sistema. A descoberta é do pesquisador em segurança Xuxian Jiang, da Universidade Estadual da Carolina do Norte.

O especialista explicou ao eWeek que explorar a falha não é particularmente difícil, mas exige algum conhecimento de JavaScript e da própria plataforma Android.

Para executar um ataque, é preciso levar o usuÁrio a clicar em um link malicioso. Com sucesso, um invasor pode obter a lista de aplicativos instalados no aparelho, fazer o upload dos apps localizado nas partições /system e /sdcard partitions para um servidor remoto e visualizar o conteúdo de qualquer arquivo armazenado no cartão, incluindo fotos e mensagens de voz salvas.

Jiang conta que alertou o Google sobre a falha e obteve resposta em cerca de dez minutos. De acordo com o eWeek, um porta-voz da companhia afirmou que uma correção serÁ disponibilizada em uma atualização para o sistema, mas a data ainda não foi revelada.

Por enquanto, na tentativa de evitar o problema, Jiang recomenda desativar o JavaScript no navegador padrão ou utilizar um browser alternativo.