Contenido Exclusivo

Los datos de los usuarios de Android pueden resultar comprometidos

El experto en seguridad Thomas Cannon ha advertido sobre una vulnerabilidad en el navegador Android que podría permitir a un atacante robar los datos locales del usuario.

 

Específicamente, una página web maliciosa podría utilizar esta falla para acceder a contenidos o archivos almacenados en la tarjeta SD del dispositivo, así como “en una gama limitada de otros datos y archivos almacenados en el teléfono”, ha explicado Cannon.

 

En esencia, el problema surge porque el navegador Android no solicita autorización al usuario cuando se descarga un archivo. “Es una simple explotación que implica a JavaScript, lo que significa que también debería funcionar en múltiples dispositivos de manos y diferentes versiones de Android sin ningún esfuerzo”.

 

Un video incluido en el post de Canon muestra al problema en acción utilizando el emulador de Android con Android 2.2 o Froyo, pero Canon lo ha descubierto en un HTC Desire con Android 2.2. Por su parte, Heise Security ha sido capaz de reproducir la explotación tanto en un Google Nexus One como en un Samsung Galaxy Tab, ambos con Android 2.2, según un informe de The H.

 

Para la demo, Cannon creó un archivo en la tarjeta SD del dispositivo Android. A continuación, visitó una página web maliciosa y pudo comprobar cómo se subía el archivo automáticamente a un servidor.

 

El equipo de seguridad de Android respondió tan sólo 20 minutos después de que Cannon les informara del problema y está trabajando en resolverlo con un parche que se lanzará con una versión de mantenimiento de Gingerbread una vez que esté disponible. Un parche inicial ya ha sido desarrollado y actualmente está siendo evaluado.

 

Mientras tanto, puesto que no todos los fabricantes de dispositivos proporcionan actualizaciones de Android, Cannon sugiere a los usuarios una serie de pasos con los que pueden protegerse. Así, les aconseja deshabilitar JavaScript en el navegador y tener cuidado con las descargas automáticas, que deberían aparecer en el área de notificaciones, pues “no debería ocurrir de manera completamente silenciosa”. Además, recomienda utilizar un navegador como Opera Mobile, que siempre alerta al usuario antes de descargarse archivos y, por último, aconseja desmontar la tarjeta SD.

 

Aunque está claro que es una vulnerabilidad que necesita ser solucionada, también hay buenas noticias en el descubrimiento de Cannon. Lo primero es que no se trata de un exploit de raíz, lo que significa que “funciona dentro de la sandbox Android y no puede tomar todos los archivos del sistema”. Por el contrario, expone sólo los archivos de la tarjeta SD y “un número limitado de otros”. En otras palabras, los directorios del sistema permanecen protegidos. En segundo lugar, “tienen que saber el nombre y la ruta del archivo que quieren robar”.

 

En otras palabras, las raíces Linux de Android sirven para proteger al usuario de algo más que daños locales y el daño se limita a los archivos cuyos nombres y caminos son predecibles, tales como las imágenes tomadas con la cámara del dispositivo.

 

Lo Más Reciente

Los dispositivos Android, un objetivo atractivo para los ciberdelincuentes

A medida que América Latina avanza en la transformación...

Nuevos Amazon Nova se enfocan a la multimodalidad

En el evento AWS re:Invent 2024, que se realiza...

La nueva región de nube de Google Cloud se ubicará en Querétaro

Google Cloud anunció la apertura oficial e inicio de...

Newsletter

Recibe lo último en noticias e información exclusiva.

Los dispositivos Android, un objetivo atractivo para los ciberdelincuentes

A medida que América Latina avanza en la transformación digital, las ciberamenazas también aumentan. De acuerdo con el reporte “Ciberamenazas en América Latina para el...

Un 74% de empresas logísticas en México no han integrado sus sistemas de manera efectiva; IA, una opción

En México, el 86% de las empresas logísticas están en proceso de transformación digital, superando el promedio latinoamericano del 84%. Este avance refleja la...

Nuevos Amazon Nova se enfocan a la multimodalidad

En el evento AWS re:Invent 2024, que se realiza esta semana en Las Vegas, Amazon Web Services detalló las características de una nueva generación...