Vulnerabilidad en navegador de Android saltea mecanismo de seguridad

POR SABRINA PAGNOTTA, ESET

Se ha descubierto una vulnerabilidad que permite evadir el mecanismo de seguridad en navegadores denominado Política del mismo origen que utiliza el navegador Android Open Source Platform (AOSP).

El bug, CVE-2014-6041, podría afectar al 75% de los usuarios de Android, que utilizan versiones del sistema operativo anteriores a KitKat 4.4 (según datos de Google) y en ocasiones utilizan AOSP como navegador predeterminado. Además, permitiría al atacante acceder a los sitios que se encuentran abiertos en el dispositivo y tomar el control.

“Cualquier sitio arbitrario (digamos, uno controlado por un spammer o un espía) puede husmear los contenidos de cualquier otra página. Imagínate que fuiste al sitio de un atacante mientras tenías tu webmail abierto en otra ventana -el atacante podría obtener los datos de tu e-mail y ver lo que tu navegador ve. Peor, podría obtener una copia de tus cookies y secuestrar tu sesión por completo, leer y escribir webmail en tu nombre”, explica Tod Beardsley de Rapid7.

¿Qué implica saltear la Política del mismo origen o Same Origin Policy (SOP)?

Básicamente, el peligro de esta falla radica en que se saltea Same Origin Policy o Política del mismo origen, un conjunto de mecanismos que previenen la interferencia entre sitios no relacionados. En otras palabras, se trata de una medida de seguridad para scripts en la parte cliente, y previene que un documento o script cargado en un “origen” pueda cargarse o modificar propiedades del documento desde un “origen” diferente. La idea básica detrás de de este mecanismo es que el código javascript de un origen no debería poder acceder a las propiedades de un sitio de otro origen.

Según esta lógica, el navegador no debería confiar en contenido cargado desde sitios arbitrarios, y las páginas web que se ejecutan en un sandbox no pueden conectar a recursos de otros orígenes. Sin esta protección, una página maliciosa podría comprometer la confidencialidad y la integridad de otra.

Entonces, a raíz de la falla descubierta, con código de javascript al que se le ha antepuesto un byte nulo, que apunta a una URL externa, el navegador Android Open Source Platform (AOSP) falla al tratar de cumplir el control de seguridad de Same Origin Policy (SOP), tal como explica Beardsley. Esta evasión permite que un sitio robe información de otro, ya que accede a propiedades como cookies o ubicación.

Si bien el navegador AOSP es desestimado por Google, que lo reemplazó por Chrome y dejó de actualizarlo activamente -lo que lo convirtió en algo “obsoleto”- muchos usuarios lo prefieren debido a su mejor oferta en términos de rapidez, y buscan la forma de reinstalarlo en sus versiones Android.

Los detalles técnicos están disponibles en el blog del investigador Rafay Baloch, quien descubrió inicialmente la vulnerabilidad a principios de septiembre. Probó su hallazgo en varios dispositivos, incluyendo Sony Xperia, Samsung Galaxy S3, HTC Wildfire y Motorola Razr, y encontró que la falla tenía efecto en todos -siempre y cuando tuvieran versiones de Android anteriores a 4.4.

La falla ya fue reportada a Google, y según reporta el sitio ArsTechnica, la respuesta fue: “Hemos revisado este reporte y los usuarios de Android que utilicen Chrome como su navegador, o aquellos que estén en Android 4.4 en adelante no están afectados. Para versiones anteriores de Android, hemos lanzado parches (1, 2) para AOSP”.

Créditos imagen: ©The City of Toronto/Flickr

Fuente: welivesecurity
http://www.welivesecurity.com/la-es/2014/09/18/vulnerabilidad-navegador-android-saltea-mecanismo-seguridad/

Todas las soluciones de seguridad con la huella digital las encuentra en: https://sites.google.com/site/inbiosys/

Queremos mejorar cada día más, necesitamos que usted nos regale dos minutos de su precioso tiempo y nos conteste 5 preguntas de la encuesta que le traemos hoy.

Click Aquí para comenzar la encuesta

En INBIOSYS tenemos todas las Soluciones en Seguridad Informática, basada en la Huella Digital

NUESTROS PRODUCTOS

• Sistema de Huella Digital para Bibliotecas

• Sistema que controla la entrada y salida del personal la Empresa

• Sistema que controla el acceso de personas y permite la apertura de puertas

• Lectores ópticos de huella digital U.are.U 4500B

• Cerradura con huella digital Anviz L100

• Torniquete con lector de huella digital

• Antenas de seguridad antihurto tecnología electromagnética – EM – para bibliotecas

• Antenas antihurto especial para Tiendas y Almacenes

• Sistema de Reconocimiento Facial Facepass

Somos la primera Empresa en el país en "Soluciones de seguridad para préstamos de libros utilizando la huella digital"

Puede seguirnos en Twitter.

Puede seguirnos en Facebook.

Visita nuestra página en Facebook

INBIOSYS Biometria

INBIOSYS
Jairo Alonso Gómez Cano
Gerente Comercial
https://sites.google.com/site/inbiosys/
http://inbiosys.wordpress.com/
E-mail: inbiosys@gmail.com
PBX: (57)(4) 583 13 31
Celular: 312 782 60 21

INBIOSYS

Ingeniería y Sistemas Biométricos
Carrera 81 No. 43 - 72 Oficina 1109
Medellín Colombia