Mire nem jó egy buta böngészőhiba! Jon Oberheide egy olyan XSS-t fedezett fel az Android Marketen, amit bármilyen script kiddie megirígyelne: ha beírsz egy tetszőleges szkriptet az alkalmazásod leírásába, az bizony lefut. 

A dolog azért különösen gyönyörű, mert a Market lehetőséget biztosít az alkalmazások weben keresztüli telepítésére, így egy elegáns AJAX hívással máris telepíthető a látogató androidos eszközére az app, erről pedig csak egy nem túl erélyes figyelmeztetést kap a júzer. 

És bár ilyenkor az alkalmazás még nem indul el, a telepítéskor beköthetők különöző eseménykezelők, amik automatikusan elindíthatják a potenciálisan rosszindulatú kódot. Ez egyik esemény amire rá lehet akaszkodni, az "új alkalmazás telepítése", ami éppen megfelelő lesz, hiszen az előző XSS-sel nem csak egy, hanem akár két appot is telepíthetünk, így a második alkalmazás lényegében beindíthatja az első futását. 

De történet epikus része ezzel még el sem kezdődött, tudni kell ugyanis, hogy Oberheide azonnal jelentette a problémát a Google-nek, ahol javították is azt. A felfedező azonban "túl gyorsan" cselekedett, mivel a feltárt hibával indulni lehetett volna a Pwn2Own versenyen, melynek győztese 15.000$-t vihet haza egy Android feltöréséért, márpedig Oberheide exploitja nagy megbízhatóságú és nagyjából verziófüggetlen volt, már ahogy az a webes hibáknál lenni szokott. Vígasztalásul a Google az általános hibavadász programja által meghatározott 1337$-t azért kiutalta a becsületes bejelentőnek...

a bejegyzés egy kis kísérletet tartalmaz, remélem magára veszi, akinek inge