Fallo de seguridad en Android 2.2

Se ha descubierto una grave falla de seguridad en el sistema operativo para teléfonos Android 2.2; la cual permite, al atacante obtener cualquier fichero del usuario almacenado en el teléfono; sólo si la víctima visita una web.

Dicha falla,  reside en que el internauta, al visitar una página web, podría tener acceso a cualquier fichero del usuario; siempre y cuando, conozca su ruta exacta. Sin embargo, el atacante no puede acceder a ficheros de sistema porque el navegador corre dentro de una sandbox (filtro anti-spam).

Para aprovechar esta falla, la víctima debe visitar un enlace. Éste, a través de JavaScript, podría obtener el fichero deseado y subirlo al servidor del atacante.

El descubridor de esta falla (Thomas Cannon), explica que el fallo se da por una combinación de factores:

  • El navegador de Android no pide permiso al usuario al descargar un fichero HTML. Se almacena automáticamente.
  • Con JavaScript, es posible lanzar una vez descargado ese fichero y el navegador lo procesa.
  • Luego, Android ejecutará el JavaScript sin pedir permiso al usuario y además será capaz de acceder a ficheros del usuario.

Se recomienda a los usuarios con Android 2.2 en sus dispositivos móviles; que deshabiliten JavaScript o utilicen un navegador alternativo. Lo que el navegador debe hacer, es confirmar con el usuario antes de descargar un fichero.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies