-Descubierto un fallo que afecta al 75% de los dispositivos Android

Se ha confirmado la existencia de una peligrosa vulnerabilidad en todos los dispositivos que llevan instalado el navegador AOSP (Android Open Source Proyect) en versiones del sistema anteriores a Android 4.4 (KitKat).

Se habla de desastre de la privacidad.

El navegador AOSP forma parte del proyecto de código abierto de Android liderado por Google y ha sido el navegador por defecto presente en todos los dispositivos Android anteriores a KitKat, a partir del cual fue reemplazado por Chrome.

Todo comenzó el 1 de septiembre cuando Rafay Baloch desvelaba en su blog Rafay Hacking Articles, una grave vulnerabilidad (denominada como CVE-2014-6041) que afectaba al SOP. La descubrió usando su smartphone Qmobile Noir A20 y luego pudo comprobarlo en otros dispositivos de diversas marcas: HTC, Sony, Samsung, Motorola…

SOP (Same-Origin Policy) es un componente crítico para la seguridad de las aplicaciones web, ya que determina cómo un documento o script cargado desde un origen puede interactuar con un recurso de otro origen.

En resumen, Rafay Baloch explicaba que cualquier atacante podría eludir el SOP usando un JavaScript modificado: bastaba con añadir un byte nulo al principio de un manejador de URL (URL handler).

La noche del 7 septiembre, Joe Vennix del equipo Rapid7's Metasploit Products afirmaba asombrado:

Al principio no lo podía creer, pero después de algunas pruebas parece cierto: en el navegador AOSP incluido en los sistemas anteriores a Android 4.4, es posible cargar JavaScript arbitrariamente en cualquier frame o ventana [...].

Aunque la vulnerabilidad descubierta le parecía increíble fue capaz de aportar un módulo Metaesploit para explotar el fallo, y tras varias pruebas quedó confirmado.

¿En qué se traduce esta vulnerabilidad para los usuarios?

Como bien ha declarado Tod Beardsley, Technical Lead del proyecto de seguridad informática Metaesploit, se trata de un desastre de privacidad. Cualquier spammer o espía que controle un sitio web abierto en tu navegador podría acceder al contenido del resto de pestañas como, por ejemplo, la ventana abierta de tu webmail, teniendo la oportunidad de hacerse con el control de los datos de tu correo electrónico e, incluso, enviar correos en tu nombre.

El 75% de los dispositivos Android emplean una versión del sistema anterior a la 4.4.

Las dimensiones del problema pueden ser épicas, cuando cerca del 75% de los dispositivos con Android utilizan una versión del sistema anterior a 4.4. A tener en cuenta que la mayoría de fabricantes y operadores ofrecen smartphones baratos de gama baja con Android 4.2.1 o anterior que incluyen el navegador AOSP por defecto y, por tanto, se verían afectados.

Hasta el momento no ha habido reconocimiento de la vulnerabilidad por parte de Google, aunque según afirma Tod Beardsley en un tweet, Rafay Baloch se encargó de informar. Esperemos que finalmente este asunto llegue a buen puerto.

Imagen de Rob Bulmahn editada con licencia CC 2.0.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?