Una vulnerabilidad en los valores del navegador de Android, descubierta en febrero, podría permitir a los cibercriminales suplantar las barras de dirección y, potencialmente, llevar a cabo acciones de phishing.

La falla, descubierta por el consultor en seguridad Rafay Baloch, afecta a todas las versiones de Android.

El problema ocurrió porque el navegador falló al manejar la respuesta del error 204 "Sin contenido" cuando se combina con el evento window.open. Aquello habilitó un ataque para manipular la barra de direcciones y potencialmente engañar a sus víctimas para que introduzcan información sensible, de acuerdo al blog de Baloch.

-El mes pasado, Android se comprometió a poner el parche a las versiones KitKat (4.4.x) y Lollipop (5.0.x), las principales distribuciones. Se recomienda a los usuarios contactar a sus proveedores de servicios de telefonía para determinar si ellos han recibido las versiones actualizadas. Si un parche no esta disponible, se aconseja a los usuarios no usar sus dispositivos para propositos de autenticación. 

El investigador Joe Vennix ayudó a escribir la prueba de concepto y Rapid7 ayudó con la divulgación de la la vulnerabilidad.