Ha sido haya por Thomas Cannon una vulnerabilidad en Android que permite la obtención de datos de la tarjeta SD. Esta vulnerabilidad, de la cual nos hemos enterado gracias al INTECO (Instituto Nacional de Tecnologías de la Comunicación) afecta al navegador Web integrado en el propio sistema operativo (Android 2.2 Froyo o inferior).

Se basa en que Android no informa cuando un fichero es descargado, si lo juntamos a que desde una página Web se podría abrir dicho fichero, éste último se ejecutaría con permisos locales, lo que le daría acceso al resto de sistema de ficheros. Siendo así, sabiendo un fichero de nombre o ruta previsible podría cargarlo y poder reportar los datos a su aplicación.

Yendo más allá, esta última podría tener acceso incluso a las cookies, historial o marcadores, pudiendo obtener así incluso las contraseñas de este.

Posible solución

En Android 2.3 Ginberbread ya está solucionado pero para el resto de dispositivos tan solo podremos prevenir este ataque evitando el uso del navegador por defecto y recomiendan el uso de otros navegadores como Firefox 4 u Opera. Ya que estos pueden ser actualizados de forma independiente del sistema operativo.

Por otra parte recomiendan no usar aplicaciones terceros que no se encuentren en el Market. Además añaden que, como deberíamos saber por sentido común, no abrir enlaces de orígenes desconocidos.