Fallo de seguridad y exploit en el navegador por defecto de #Android

El investigador Rafay Baloch ha publicado una vulnerabilidad, identificada como CVE-2014-6041, que afecta a la mayoría de los sistemas Android.

La Política del mismo origen o Same Origin Policy (SOP) es una medida de seguridad básica que deben implementar todos los navegadores actuales. La idea es muy sencilla: el código de una página que se ejecuta en cliente (casi siempre javascript) no debe ser capaz de acceder al código de otra.

Eso es porque, aunque hay algunas excepciones con unas pocas propiedades y atributos, si se permitiera acceder globalmente desde un origen a otro (Esquema, dominio y puerto) un sitio A podría acceder a las propiedades de otro sitio B, es decir, un sitio malicioso podría obtener las cookies, location, response, etc. de otro sitio por el que está navegando el usuario. Un ejemplo claro sería cuando un usuario accede a un sitio malicioso y es posible robar una sesión de Facebook abierta en otra pestaña del navegador.

Resulta que el navegador por defecto de todas las versiones de Android anteriores a la 4.4, el conocido como AOSP browser (Android Open Source Project), permite evadir La Política del mismo origen (SOP) cargando Javascript en un iframe o ventana cualquiera simplemente poniendo antes de "javascript:..." un byte nulo. Es lo que sería UXSS (Universal Cross-site Scripting).

Además, para facilitarnos más aún la vida, jvennix-r7 ha publicado un módulo de Metasploit que también soporta la evasión de x-frame-options cocinando así un exploit universal listo para su uso: https://github.com/rapid7/metasploit-framework/pull/3759.

Se recomienda actualizar el navegador si hay actualización disponible, o en caso contrario, utilizar navegadores alternativos, como Firefox o Chrome.
Para saber que versión de Android tiene un dispositivo hay que dirigirse al menú Ajustes > Acerca del teléfono > Versión de Android.

Fuente: OSI y Hackplayers

Suscríbete a nuestro Boletín