W Android Market została znaleziona i zamknięta luka XSS (Cross-Site Scripting), która umożliwiała na nieuprawnione instalowanie aplikacji na urządzeniach działających na systemie Android i to bez fizycznego dostępu do nich samych.

Odkryta usterka umożliwiała przeprowadzenie ataku typu Persistent XSS poprzez błąd w polu opisu aplikacji zamieszczanej w tym sklepie. Okazało się, że istnieje możliwość umieszczania w nim kodu JavaScript, który wykonywała przeglądarka użytkownika odwiedzającego Android Market. Przestępca mógł w ten sposób przemycić kod umożliwiający inicjowanie instalowania szkodliwej aplikacji.

Możliwość instalowania aplikacji bezpośrednio przez sklep internetowy krytykują wszyscy producenci antywirusów, a to ze względu na spore zagrożenia jakie to ze sobą niesie. Najważniejszym z nich jest to, że nikt się nie pyta nawet użytkownika o zgodę. Krótka informacja o powodzeniu instalacji aplikacji to za mało, zwłaszcza, że doszło już do pomyślnego jej zainstalowania.

Źródło: http://www.heise-online.pl