Un nuevo fallo de seguridad ha sido encontrado hace bien poco, justamente el día 1 de septiembre y que está relacionado con el navegador web que viene por defecto en Android por el cual se puede robar las credenciales del usuarios.
Según informa el portal Metasploit, el fallo de seguridad fue detectado en primer lugar por Rafay Baloch el 1 de septiembre y solamente afectaría a los exploradores web que incorporan las versiones de Android anteriores a la 4.4 KitKat.
En la noche del 7 de septiembre, Joe Vennix de Rapid7 escribió: “no puedo llegar a creer esto, pero después de algunas pruebas parece cierto, desde el explorador web por defecto anterior a Android 4.4 se puede cargar javascript en una ventana…“, proveyendo incluso de un módulo que permitía hacer un exploit. Esta vulnerabilidad se lleva a cabo en la forma en que maneja el navegador web y las URLs precedidas por un carácter de byte nulo. Al no encontrarse con una dirección así, el explorador no cumple la política de seguridad y los sitios maliciosos pueden tomar toda la información que quieran de las demás pestañas que se tenga abiertas en ese momento. Inclusive pueden realizar copias de las cookies.
Algunos podrían mantener que al ser una versión antigua no podría tener tanto peligro este fallo de seguridad, pero hay que conocer que el 75% de los smartphones Android tienen una versión anterior a la 4.4.
La semana que viene se podrá tener acceso a un vídeo que el propio Tod Beardsley mostrará haciendo una demostración del bug. El mismo recuerda que hay que seguir mirando de cerca la seguridad en terminales de gama media o baja para proteger la seguridad de usuarios que no tienen la capacidad de acceder a teléfonos mejores.
Así que aquellos que no tengáis un terminal con Android 4.4 es recomendable usar otro explorador web como puede ser Google Chrome, Firefox, Dolphin u Opera. Hace poco os presentábamos cinco exploradores webs alternativos que os puede venir muy bien ahora.
El artículo El navegador web de Android tiene un fallo de seguridad que permite robar credenciales ha sido originalmente publicado en Androidsis.
Continúar leyendo...