Vulnerabilidad descubierta en el navegador web de la versión Android 2.2 Froyo y anteriores que permitiría robar ficheros del terminal y en especial los almacenados en la tarjeta SD de forma transparente para el usuario. El sistema de ficheros de las tarjetas SD es FAT32, por lo que carece de permisos de propiedad.
Thomas Cannon, el especialista en seguridad que ha descubierto esta vulnerabilidad, informa que a través de una página HTML especialmente diseñada y Javascript, un atacante podría tener acceso a un número limitado de ficheros almacenados en el terminal. La base del problema es que el navegador de Android, para las versiones mencionadas, no informa al usuario de la descarga de un fichero HTML.
En el ataque, podría tenerse acceso al sistema de ficheros proc y con ello a la versión del kernel y otros parámetros de configuración utilizables como base para ataques posteriores. Además, podrían obtenerse datos del navegador del tipo historial, marcadores, cookies de sesión y también contraseñas guardadas.
El acceso a la tarjeta SD posibilita el robo de ficheros de todo tipo: textos, fotos o vídeo, sin que el propietario del terminal tenga conciencia de la acción. En el momento de escribir estas lineas, no existe una solución oficial al problema, por lo que la única alternativa es utilizar un navegador distinto, por ejemplo Opera Mini, Firefox, Skyfire o cualquier otro de tu elección.
Vía | INTECO
Más información | Navegadores para android
En Genbeta | Android 2.2 Froyo
No hay comentarios:
Publicar un comentario