Mucha gente se pregunta las ventajas de actualizar el sistema operativo de sus smartphones y tablets. Que si el diseño me da igual, que para utilizar el Whatsapp y cuatro fotos que hago tengo más que suficiente, son los argumentos que más he escuchado. Pero cuando pasamos a vulnerabilidades en el sistema, las cosas cambian.
Y es que hace unas semanas apareció el temido CVE-2014-6041, una vulnerabilidad del navegador disponible en cualquier versión de Android que no sea 4.4 KitKat. Un fallo de privacidad de nada, tan sólo permite un acceso total a nuestro dispositivo; podrán entrar en nuestro correo, contactos, números de cuenta… Lo dicho, un fallo sin importancia.
CVE-2014-6041,la vulnerabilidad letal para cualquier dispositivo sin Android KitKat
Todo ha sido gracias a Miguel Ángel García, desarrollador que ha estado probando esta vulnerabilidad hasta que ha descubierto un filón realmente interesante. Bueno, podemos cambiar lo de interesante por vergonzoso o terriblemente preocupante, pero no os quiero asustar más. Todavía.
El problema se basa en el navegador web AOSP, exactamente en el SOP(Same-Origin-Policy). Esta pieza del navegador limita cuándo se carga un código de origen diferente a la web que estemos visitando.La gracia llega cuando incluyes un byte nulo en el código a ejecutar.
Con este sencillo paso nos saltamos a la torera la protección SOP. ¿Qué significa esto? Que si entramos en una web que contenga este byte nulo, la web podrá ejecutar cualquier código en nuestro dispositivo Android, saltándose todas las medidas de seguridad.
De esta forma se puede extraer cualquier información del usuario, enviar formularios si n autorización, robarnos las cookies(EL PORNO NO SE TOCA) o cualquier otro dato. Y para rematar la jugada podemos acabar formando parte de una red Botnet donde nuestro dispositivo Android pasará a ser un juguete en las manos del atacante.
En definitiva un fallo de seguridad muy peligroso que vuelve a dejar en evidencia a Google. No por el fallo, porque entendemos que un error lo puede cometer cualquiera y estoy seguro que ya están trabajando para solucionarlo, pero el gran problema radica en la fragmentación.
Y eso es culpa tanto de Google como de los fabricantes que se pasan por el forro de sus carteras rebosantes de billetes las necesidades de los usuarios. ¡Menos contar dinero y más actualizar nuestros dispositivos!
El artículo Si tu dispositivo Android no funciona con 4.4 KitKat, tienes un problema ha sido originalmente publicado en Androidsis.
Continúar leyendo...