Un fallo de seguridad en el navegador de Android permite leer contraseñas

Una nueva vulnerabilidad del sistema operativo Android acaba de ser descubierta. Esta vez se trata del navegador de internet basado en WebKit que, a través de una serie de exploits JavaScript, permite a los atacantes leer las cookies y las contraseñas almacenadas en el dispositivo, posibilitando el envío de correos electrónicos en su nombre.
Lo cierto es que este fallo de seguridad fue reportado como un bug hace ya varias semanas, concretamente el 1 de septiembre, aunque no se conocía la magnitud del problema. Tras todo este tiempo, el investigador Rafay Baloch que descubrió el fallo, se percató de que modificando Javascript era capaz de eludir una determinada política de seguridad del navegador (Same Origin Policy, SOP), permitiendo alterar y explotar el contenido de cualquier página web cargada en otra pestaña. Lo peor de todo es que, según  sus cálculos, el 40% de los usuarios de Android podrían estar afectados por esta vulnerabilidad.
SOP está diseñado para evitar que un script ejecutado en un sitio web pueda afectar al contenido de otra página. En otras palabras, los scripts solo pueden modificar aquellos recursos que han sido generados desde el mismo dominio o número de puerto, lo que previene que webs y programas maliciosos puedan alterar el contenido de páginas confiables e infectarlas. Sin esta protección, cualquier podría cargar secuencias de comandos malintencionadas para engañar a los usuarios y descargar malware, por ejemplo, además de monitorizar sus datos y así hacerse con sus credenciales de usuario.

¿Cuál es el riesgo real de esta vulnerabilidad?

Aunque las probabilidades de encontrarse con un exploit de este tipo son bastante bajas, un buen número de usuarios de Android aún están utilizando el navegador que puede ser atacado. El navegador de versiones anteriores a Android 4.2 estaba establecido como por defecto antes de que Google lo cambiara a Chrome, abandonando el soporte para el antiguo navegador. Aún así, Google cambió el motor a Chromium en Android 4.4, momento en el que el problema fue solucionado -a no ser, claro está, que el usuario haya instalado una versión más antigua del navegador-.
Teniendo en cuenta los últimos datos de distribución del sistema operativo, alrededor del 40% de los dispositivos Android podrían estar en riesgo de ser infectados a través de esta vulnerabilidad. La forma más fácil de protegernos ante este fallo de seguridad es instalar un navegador web que no esté basado en el antiguo código de Android como Chrome, Firefox u Opera, ya que otros navegadores pueden estar basados en el código abierto del antiguo navegador de Android, por lo que el problema podría reproducirse.
Vía Android Authority