Una seria vulnerabilidad ha sido descubierta en el navegador web instalado por defecto en un gran número (aproximadamente 70%) de los dispositivos Android. Permite a un atacante secuestrar sitios web abiertos y también existe un modulo de Metasploit que permite explotar fácilmente la falla.

La vulnerabilidad objetivo del exploit (CVE-2014-6041) en versiones de Android 4.2.1 y anteriores fue revelada por primera vez a principios de septiembre por el investigador de seguridad Rafay Baloch, sin embargo no ha habido demasiada discusión pública al respecto.

La falla en Android ha sido llamada "desastre de privacidad" (privacy disaster) por Tod Beardsley, un desarrollador de la herramienta de seguridad Metasploit, y con el fin de explicar el por qué nombró a la falla de esa manera, prometió publicar un video lo "suficientemente impactante".

"Por malformación de javascript: el manejador de URL con un byte nulo antepuesto, el AOSP (Android Open Source Platform) falla al forzar la política de seguridad de mismo origen (SOP) del navegador", menciona Beardsley en una publicación.

"Lo que esto significa es que cualquier sitio web, alguno controlado por un espía o spammer, puede observar el contenido de cualquier otro sitio. Si visitas el sitio de un atacante mientras tienes tu correo abierto en otra ventana, el atacante puede obtener los datos de tu correo electrónico y ver lo que tu navegador ve", dijo Beardsley. "Peor aún, el atacante podría tomar una cookie de sesión y secuestrar la sesión completamente, permitiéndole leer y escribir correos en tu nombre."

Baloch también encontró que el navegador AOSP instalado en versiones de Android 4.2.1 es vulnerable a un salto SOP (Same Origin Policy) que permite a un sitio web robar datos de otro. Luego probó sus hallazgos en numerosos dispositivos, incluyendo QMobile Noir, Sony Xperia, Samsung Galaxy S3, HTC Wildfire y Motorola Razr, encontró que funciona en todos ellos.

Cualquiera que cuente con la última versión de Android (4.4) está a salvo, lo que significa que cerca del 75 por ciento de los dispositivos Android (y millones de usuarios) son vulnerables al ataque, de acuerdo a las estadísticas de Google.

Baloch explicó que un bypass SOP ocurre cuando un sitio web hace su propio camino para acceder a las propiedades como cookies, localización, respuestas, etc. de otro sitio. "Debido a la naturaleza de la falla y su impacto potencial, los navegadores tienen un modelo muy estricto respecto a los bypass SOP y estos son raramente encontrados en navegadores modernos, sin embargo, estos errores aparecen de vez en cuando", menciona Baloch en un blog.

Como investigador de seguridad responsable, Baloch reportó la vulnerabilidad a Google y ellos respondieron positivamente asegurándole que se encuentran trabajando en una solución. Pero al momento de premiar al investigador Google respondió "Somos incapaces de reproducir el fallo. Es posible que su OEM haya modificado el navegador de forma que provocó esta falla", dijo Josh Armour del equipo de seguridad de Android.

El problema es que que todas las versiones de Android, excepto la versión 4.4, están afectadas por esta vulnerabilidad, un gran número de usuarios aun usan versiones viejas. Peor es la creación de un módulo de Metasplot, lo que hace la explotación de la vulnerabilidad mucho más fácil.

Todo reside en el navegador de los dispositivos Android, el cual no puede ser desinstalado debido a que usualmente es parte del sistema operativo.

Con motivo de proteger a los usuarios se recomienda deshabilitar el navegador de los dispositivos siguiendo la ruta Configuración > Apps > Todas y buscar por el icono del navegador. Al abrirlo se verá un boton con la leyenda "Deshabilitar", basta darle clic a ese botón para deshabilitar el navegador por defecto.