Un día más, un nuevo fallo de seguridad encontrado. Esta vez le toca la pelota a Google, que ve cómo un investigador ha descubierto un fallo en el navegador Android Browser que venía por defecto en anteriores versiones de AOSP (Android Open Source Platform). Google asegura que dicho fallo no afecta a su navegador Chrome ni a los usuarios que utilicen Android 4.4 o superior.
Este fallo de seguridad permite que un código JavaScript malicioso sea ejecutado al visitar una web y permita ejecutar JavaScript contra otras webs para acceder a su información guardada, como sus cookies con nombres de usuario y contraseñas o tokens de sesión. Normalmente un sitio no puede acceder a otro debido a la política de permitir sólo acceso desde el mismo origen (Same Origin Policy o SOP), pero este fallo permite saltársela.
Puesto que Android Browser dejó de ser el navegador por defecto en Android 4.2 en favor de Chrome, la mitad de los más de 1.000 millones de dispositivos que hay en el mundo están bajo amenaza. Siempre y cuando, claro está, entremos en páginas de dudosa reputación desde ellos. El resto de usuarios que siguen unas normas básicas de seguridad no deberían tener problemas, pero la mayoría de los usuarios no están versados en tecnología y no saben o no quieren saber de estas cosas y que son los que están en riesgo.
Cuando el investigador, Rafay Baloch, informó de este fallo de seguridad a Google, la compañía dijo que era incapaz de recproducirlo y cerró el caso, dándole con la puerta en las narices a Baloch. Pero tras escribir sobre el problema en su blog, se desarrolló un módulo para Metasploit, una herramienta para auditorías de seguridad open source, y Google no tuvo más remedio que aceptar que el fallo existía y era reproducible.
La moraleja: usad Firefox, Chrome, Opera u otros navegadores no basados en Android Browser. La seguridad de vuestro dispositivo lo agradecerá.
Vía: Ars Technica.