Se ha descubierto una vulnerabilidad que permite evadir el mecanismo de seguridad en navegadores denominado Política del mismo origen que utiliza el navegador Android Open Source Platform (AOSP).
El bug, CVE-2014-6041, podría afectar al 75% de los usuarios de Android, que utilizan versiones del sistema operativo anteriores a KitKat 4.4 (según datos de Google) y en ocasiones utilizan AOSP como navegador predeterminado. Además, permitiría al atacante acceder a los sitios que se encuentran abiertos en el dispositivo y tomar el control.
"Cualquier sitio arbitrario (digamos, uno controlado por un spammer o un espía) puede husmear los contenidos de cualquier otra página. Imagínate que fuiste al sitio de un atacante mientras tenías tu webmail abierto en otra ventana -el atacante podría obtener los datos de tu e-mail y ver lo que tu navegador ve. Peor, podría obtener una copia de tus cookies y secuestrar tu sesión por completo, leer y escribir webmail en tu nombre", explica Tod Beardsley de Rapid7.
¿Qué implica saltear la Política del mismo origen o Same Origin Policy (SOP)?
Básicamente, el peligro de esta falla radica en que se saltea Same Origin Policy o Política del mismo origen, un conjunto de mecanismos que previenen la interferencia entre sitios no relacionados. En otras palabras, se trata de una medida de seguridad para scripts en la parte cliente, y previene que un documento o script cargado en un "origen" pueda cargarse o modificar propiedades del documento desde un "origen" diferente. La idea básica detrás de de este mecanismo es que el código javascript de un origen no debería poder acceder a las propiedades de un sitio de otro origen.
Según esta lógica, el navegador no debería confiar en contenido cargado desde sitios arbitrarios, y las páginas web que se ejecutan en un sandbox no pueden conectar a recursos de otros orígenes. Sin esta protección, una página maliciosa podría comprometer la confidencialidad y la integridad de otra.
Entonces, a raíz de la falla descubierta, con código de javascript al que se le ha antepuesto un byte nulo, que apunta a una URL externa, el navegador Android Open Source Platform (AOSP) falla al tratar de cumplir el control de seguridad de Same Origin Policy (SOP), tal como explica Beardsley. Esta evasión permite que un sitio robe información de otro, ya que accede a propiedades como cookies o ubicación.
Si bien el navegador AOSP es desestimado por Google, que lo reemplazó por Chrome y dejó de actualizarlo activamente -lo que lo convirtió en algo "obsoleto"- muchos usuarios lo prefieren debido a su mejor oferta en términos de rapidez, y buscan la forma de reinstalarlo en sus versiones Android.
Los detalles técnicos están disponibles en el blog del investigador Rafay Baloch, quien descubrió inicialmente la vulnerabilidad a principios de septiembre. Probó su hallazgo en varios dispositivos, incluyendo Sony Xperia, Samsung Galaxy S3, HTC Wildfire y Motorola Razr, y encontró que la falla tenía efecto en todos -siempre y cuando tuvieran versiones de Android anteriores a 4.4.
La falla ya fue reportada a Google, y según reporta el sitio ArsTechnica, la respuesta fue: "Hemos revisado este reporte y los usuarios de Android que utilicen Chrome como su navegador, o aquellos que estén en Android 4.4 en adelante no están afectados. Para versiones anteriores de Android, hemos lanzado parches (1, 2) para AOSP".