Vulnerabilidad en navegador Android

La vulnerabilidad en el componente SOP (Same-Origin Policy) es la segunda encontrada por Rafay Baloch, quien descubrió primero la CVE-2014-6041, el mes pasado. La vulnerabilidad se presenta en la manera en que Javascript es manejado por la función responsable de cargar los cuadros de las URL.

Se supone que el SOP previene que el código Javascript de una página web pueda acceder a contenidos de otra página. La falla permite esquivar la barrera, así que un atacante puede leer el contenido de las pestañas cuando un usuario visita la página controlada por el atacante.

El investigador ha creado una prueba de concepto para mostrar el exploit. "La POC es muy facil de entender para las personas que cuentan con bases de Javascript", según lo que escribió Baloch en su blog.

Google ya no es compatible con el navegador de Android, el cual fue remplazado con Chrome en la nueva versión Android 4.4.4. De caulquier forma, la compañía ThreatPot comentó que el parche se ha liberado para los usuarios de Android 4.1-4.3. Los usuarios de versiones antiguas aparentemente no corren con la misma suerte. 

La vulnerabilidad es un "tema de relevancia" segun Ted Eull, vicepresidente de servicios móviles en viaForensics. "El navegador fue incluido de forma predeterminada en muchos dispositivos antes de KitKat (versión 4.4) por lo que existen cientos de miles de usuarios afectados", según comentó.

viaForensics recomienda a los usuarios utilizar los navegadores Firefox y Chrome como navegadores predeterminados. Las personas deben desinstalar el navegador Android, si el dispositivo lo permite.

Aunque Chrome y Firefox tienen cuentan con sus propias vulnerabilidades, "estos son continuamente actualizados y por lo general parchan rápidamente los problemas de seguridad descubiertos".

Expertos en seguridad han criticado a los operadores por fallar al no trabajar con los fabricantes de los dispositivos al agilizar el proceso para liberar actualizaciones y parches de Android de manera rápida para proteger a los consumidores.

Cabe destacar que en los últimos años, las personas con dispositivos populares fabricados por empresas como Samsung y Motorola, obtienen sus actualizaciones con regularidad.

Aun así, las personas que cuentan con dispositivos sin tanta popularidad tienen menos probabilidades de recibir actualizaciones, así que tendrán que actualizar su sistema, si es que están preocupados por la seguridad, según los expertos.

"Ésta no es la ideal", dice Bob O'Donnell, analista en TECHnalysis, acerca de la situación actual.

AT&T no ha respondido a los comentarios. Verizon indica que cuenta con un sitio web en donde los clientes pueden verificar si existen actualizaciones para su dispositivo.

"Usualmente nosotros liberamos actualizaciones de software después de pruebas exhaustivas para asegurarnos que nuestros clientes tengan una gran experiencia, " segub Debra Lewis, vocera de la compañía.