W Android Market zosta�a znaleziona i zamkni�ta luka XSS (Cross-Site Scripting), kt�ra umo�liwia�a na nieuprawnione instalowanie aplikacji na urz�dzeniach dzia�aj�cych na systemie Android i to bez fizycznego dost�pu do nich samych.

Odkryta usterka umo�liwia�a przeprowadzenie ataku typu Persistent XSS poprzez b��d w polu opisu aplikacji zamieszczanej w tym sklepie. Okaza�o si�, �e istnieje mo�liwo�� umieszczania w nim kodu JavaScript, kt�ry wykonywa�a przegl�darka u�ytkownika odwiedzaj�cego Android Market. Przest�pca m�g� w ten spos�b przemyci� kod umo�liwiaj�cy inicjowanie instalowania szkodliwej aplikacji.

Mo�liwo�� instalowania aplikacji bezpo�rednio przez sklep internetowy krytykuj� wszyscy producenci antywirus�w, a to ze wzgl�du na spore zagro�enia jakie to ze sob� niesie. Najwa�niejszym z nich jest to, �e nikt si� nie pyta nawet u�ytkownika o zgod�. Kr�tka informacja o powodzeniu instalacji aplikacji to za ma�o, zw�aszcza, �e dosz�o ju� do pomy�lnego jej zainstalowania.

�r�d�o: http://www.heise-online.pl