Descubierto un agujero de seguridad en Android 2.2

Los usuarios de Android 2.2 se encuentran expuestos por un fallo de seguridad que deja al descubierto los ficheros del terminal, aunque no los relativos al sistema. Para ello es necesario que visiten previamente una página web maliciosa, que ejecuta un código JavaScript

Descubierto un agujero de seguridad en Android 2.2

29 noviembre 2010

Los usuarios de Android 2.2 se encuentran expuestos por un fallo de seguridad que deja al descubierto los ficheros del terminal, aunque no los relativos al sistema. Para ello es necesario que visiten previamente una página web maliciosa, que ejecuta un código JavaScript.

Esta vulnerabilidad deja abierta la posibilidad de que un atacante tenga acceso a los ficheros del usuario. Para ello es necesario que conozca su ruta exacta, algo bastante sencillo al parecer con aplicaciones como la cámara de fotos y los guardados en la tarjeta SD. Una vez ejecutado el código JavaScript, sin conocimiento de la víctima, los archivos quedan expuestos al atacante. Cuando el código JavaScript tiene los contenidos del archivo puede publicarlos en el sitio web malicioso.

La recomendación para los usuarios que dispongan de Android 2.2 en sus terminales pasa por deshabilitar JavaScript o utilizar otro navegador, ya que el integrado en el sistema no pregunta a los usuarios si quieren descargar un archivo. Una alternativa podría ser Opera, que antes de descargar un archivo pide confirmación al usuario.

Según publica en su blog el usuario que ha descubierto este agujero, Google ya está trabajando en una solución que incluirá en Android 2.3, así como en un parche para la versión 2.2 que todavía no ha sido publicado. En su post incluye un vídeo donde se muestra el funcionamiento del exploit.

Loading...
'); doc.close(); });