Android nos mintió

Durante cinco años, todos los usuarios de teléfonos inteligentes y tabletas basados ​​en el sistema operativo Android estuvieron en riesgo. La laguna fue descubierto en el código del motor del navegador Chromium ,en esa parte , que no ha cambiado desde 2013.La vulnerabilidad fue encontrada por Sergey Toshin, un empleado de Positive Technologies. Dado que se solucionó en la actualización del motor con fecha del 29 de enero de 2019, fue seguro publicarinformación al respecto . Un comentario detallado de S. Toshin apareció el jueves 21 de marzo.

 

Debido a fallas en Chromium, sobre la base de la cual el navegador Chrome y el componente del sistema operativo Android están diseñados para previsualizar páginas web en varios sistemas y aplicaciones WebView de terceros, los atacantes podrían obtener acceso a los datos personales de los usuarios en los dispositivos. Entre ellos, el historial de visitas y datos para autorización en navegadores, sesión, mensajería instantánea y aplicaciones bancarias.

El peligro de la vulnerabilidad radica en el hecho de que WebView es ampliamente utilizado por varias aplicaciones. Los usuarios tienden a confiar en la aplicación y en la información que se muestra en ella más que en el navegador web, considerando que el contenido dentro de la aplicación es más seguro. Sin embargo, para los intrusos no hay una diferencia fundamental, reemplazar el enlace a uno especialmente preparado y atacar el dispositivo a través de un navegador o, por ejemplo, una aplicación de tienda en línea separada.La amenaza es relevante para los dispositivos que se ejecutan en todas las versiones de Android, comenzando con KitKat (4.4).Aquellos que utilizan dispositivos con una versión más nueva que 6.0.1, simplemente descargan la actualización de Chrome o del sistema. El software anterior debe actualizarse manualmente descargando el sistema WebView de Android desde Play Market. Hipotéticamente, la vulnerabilidad se aplica no solo a  todos los navegadores Chromium (Yandex, Opera, Samsung Internet y muchos otros), sino también a las versiones de escritorio de las aplicaciones. Aún no se ha encontrado evidencia de uso de esta laguna.

Deja un comentario