As 5 principais vulnerabilidades dos navegadores mais usados em smartphones e tablets

Uma parte fundamental para acessar, visualizar ou gerar conteúdo e realizar diversas atividades na internet em smartphones e tablets é por meio dos navegadores, que são aplicativos otimizados para exibir conteúdo da web em telas menores, diferentemente de um computador de mesa.

Os usuários buscam um navegador que ofereça uma experiência fluida ao consumir e interagir com qualquer tipo de conteúdo. Cada navegador possui características específicas sobre como exibe e armazena informações. No entanto, eles também podem ser uma porta de entrada para que o dispositivo móvel seja infectado por malware e para que cibercriminosos roubem informações, caso as atualizações necessárias não estejam instaladas ou se arquivos infectados forem baixados e explorarem alguma vulnerabilidade.

A seguir, veremos o top 5 das vulnerabilidades mais exploradas durante o segundo semestre de 2024 nos navegadores móveis mais utilizados.

Participação de mercado dos navegadores para dispositivos mobile

De acordo com um levantamento da GS.statcounter, o Chrome foi o navegador dominante em smartphones, com uma participação de mercado de 65,75%. O Safari ocupou a segunda posição, com 21,47%, principalmente devido à sua integração com o iPhone. O Samsung Internet ficou em terceiro lugar, com uma participação de 3,54%, enquanto o Opera foi utilizado por 1,63% do mercado.

Tabela 1. Navegadores mobile mais usados no mundo até dezembro de 2024. Fonte: GS.STATCOUNTER.

*O Samsung Internet possui vulnerabilidades até 2022. Atualmente, não há registros por parte da marca sobre a descoberta de novas vulnerabilidades no navegador. O mesmo ocorre com o Opera Web, cujo registro de vulnerabilidades é de mais de 6 anos; isso não significa que sejam navegadores totalmente seguros, pois a segurança depende de como o usuário final os utiliza.

Google Chrome

CVE-2024-9956

Essa vulnerabilidade foi publicada em 10 de outubro de 2024 e se trata de uma implementação inadequada do WebAuthentication no Google Chrome para Android. As versões anteriores à 130.0.6723.58 são as afetadas e permitem que um cibercriminoso local realize uma escalonamento de privilégios por meio de uma página HTML criada para explorar essa vulnerabilidade. Isso poderia permitir a instalação de malware do tipo infostealer ou trojan.

Dispositivos afetados: Android com versões desatualizadas.

CVE-2024-8907

Essa vulnerabilidade foi publicada em 19 de setembro de 2024 e se trata de uma validação insuficiente de dados na Omnibox (barra de endereços do navegador, também conhecida como caixa multifuncional) no Google Chrome para Android. As versões anteriores à 129.0.6668.58 permitem que um atacante remoto convença o usuário a realizar gestos específicos na interface (UI) para injetar scripts ou HTML arbitrário (XSS) por meio desses gestos.

Dispositivos afetados: Android com versões desatualizadas.

CVE-2024-8639

Essa vulnerabilidade foi publicada em 11 de setembro de 2024 e consiste em explorar o recurso de autocompletar no Google Chrome para Android. As versões anteriores à 128.0.6613.137 permitem que um atacante remoto explore essa falha por meio da falsificação de uma página HTML.

Dispositivos afetados: Android com versões desatualizadas.

CVE-2024-8637

Essa vulnerabilidade foi publicada em 11 de setembro de 2024 e explora o serviço do navegador que permite enviar conteúdo do Chrome para um dispositivo com Chromecast habilitado (Chrome Media Router). As versões anteriores à 128.0.6613.137 permitem que um atacante remoto explore essa falha por meio da falsificação de uma página HTML.

Dispositivos afetados: Android com versões desatualizadas.

CVE-2024-8034

Essa vulnerabilidade foi publicada em 8 de agosto de 2024 e trata de uma implementação inadequada das abas personalizadas no Google Chrome para Android. As versões anteriores à 128.0.6613.84 permitem que um atacante remoto explore essa falha gerando milhares de abas de uma página HTML.

Dispositivos afetados: Android com versões desatualizadas.

Safari

CVE-2024-54534

Essa vulnerabilidade foi publicada em 11 de dezembro de 2024. Se o navegador não estiver atualizado, um aplicativo malicioso pode ser capaz de acessar informações sensíveis e privadas da vítima através de falhas de memória, permitindo que o atacante escale privilégios no dispositivo afetado. Além disso, o atacante pode ser capaz de alterar o tráfego de rede e causar uma negação de serviço.

Dispositivos afetados: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 e iPadOS 18.2, desde que possuam as versões mencionadas.

CVE-2024-54508

Essa vulnerabilidade foi publicada em 11 de dezembro de 2024. Se o navegador não estiver atualizado, um aplicativo malicioso pode acessar informações sensíveis e privadas da vítima por meio de falhas de memória, permitindo que o atacante escale privilégios no dispositivo afetado. Além disso, o cibercriminosos pode ser capaz de alterar o tráfego de rede e causar uma negação de serviço. Devido a uma validação insuficiente da lista de leitura do Safari, a vulnerabilidade pode revelar o endereço IP original do site. Se o atacante tiver acesso físico ao dispositivo iOS, ele poderá visualizar o conteúdo das notificações na tela de bloqueio.

Dispositivos afetados: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 e iPadOS 18.2, desde que possuam as versões mencionadas.

CVE-2024-54505

Essa vulnerabilidade foi publicada em 11 de dezembro de 2024. Se o navegador não estiver atualizado, uma aplicação maliciosa pode acessar informações sensíveis e privadas da vítima por meio de falhas de memória, permitindo que o atacante escale privilégios no dispositivo afetado. Além disso, o atacante pode alterar o tráfego de rede, causar uma negação de serviço e acessar partes da memória para gerar processos maliciosos. Devido a uma validação insuficiente da lista de leitura do Safari, a vulnerabilidade pode revelar o endereço IP original do site. Caso o atacante tenha acesso físico ao dispositivo iOS, ele poderá visualizar o conteúdo das notificações na tela de bloqueio.

Dispositivos afetados: iPadOS 17.7, watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 e iPadOS 18.2, desde que possuam as versões mencionadas.

CVE-2024-44309

Essa vulnerabilidade foi publicada em 19 de novembro de 2024. Se o navegador não estiver atualizado, ela permite que o atacante processe conteúdo web para causar a execução arbitrária de código. A Apple foi informada de que esse problema pode ter sido explorado ativamente em sistemas Mac baseados em Intel.

Dispositivos afetados: Safari 18.1.1, iOS 17.7.2, iPadOS 17.7.2, macOS Sequoia 15.1.1, iOS 18.1.1, iPadOS 18.1.1, visionOS 2.1.1, desde que possuam as versões mencionadas.

CVE-2024-44259

Essa vulnerabilidade foi publicada em 29 de outubro de 2024. Se o navegador não estiver atualizado, um atacante pode explorar uma relação de confiança para baixar conteúdo malicioso. Na navegação privada, o histórico de navegação pode ser filtrado, e as cookies podem ser redirecionadas para o destino escolhido pelo atacante.

Dispositivos afetados: iOS 17.7.1, iPadOS 17.7.1, visionOS 2.1, iOS 18.1, iPadOS 18.1, macOS Sequoia 15.1, Safari 18.1, desde que possuam as versões mencionadas.

Firefox

CVE-2024-9680

Essa vulnerabilidade foi atualizada em 18 de novembro de 2024 e reportada por Damien Schaeffer da ESET (Malware Reseacher). Um atacante pode explorar a animação de linhas de tempo para executar código no processo de conteúdo.

As versões anteriores à 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1, Thunderbird 131.0.1, Thunderbird 128.3.1 e Thunderbird 115.16.0 são as afetadas.

Dispositivos afetados: Android, PC.

CVE-2024-9936

Essa vulnerabilidade foi publicada em 14 de outubro de 2024. Ao manipular o nodo da memória cache, o atacante pode gerar um comportamento anômalo e explorar outras características do navegador afetado.

As versões anteriores à 131.0.3 são vulneráveis.

Dispositivos afetados: Android, PC.

CVE-2024-9397

Essa vulnerabilidade foi publicada em 1 de outubro de 2024. Uma demora no diretório para o carregamento de arquivos da interface de usuário (UI) pode permitir que um atacante engane o usuário para obter permissões por meio de clickjacking, um ataque que faz com que o usuário clique em links maliciosos sem saber.

Dispositivos afetados: Android, PC. Versões anteriores ao Firefox 131, Firefox ESR 128.3, Thunderbird 128.3 e Thunderbird 131 são vulneráveis.

CVE-2024-9403

Essa vulnerabilidade foi publicada em 1 de outubro de 2024. Erros de segurança de memória presentes no Firefox 130 mostraram evidências de corrupção de memória, indicando que, com esforço suficiente, alguns desses erros poderiam ser explorados para executar código arbitrário.

Dispositivos afetados: Android, PC. Versões anteriores ao Firefox 131 e Thunderbird 131 são vulneráveis.

CVE-2024-9400

Essa vulnerabilidade foi publicada em 1 de outubro de 2024. Uma possível vulnerabilidade de corrupção de memória poderia ser desencadeada se um atacante tivesse a capacidade de causar uma OOM (Out Of Memory Killer), um processo que ocorre quando o sistema tem pouca memória. Esse processo revisa os aplicativos e finaliza aqueles que estão consumindo mais memória do que deveriam, e isso poderia ocorrer em um momento específico durante a compilação JIT.

Dispositivos afetados: Android, PC. Versões anteriores ao Firefox 131, Firefox ESR 128.3, Thunderbird 128.3 e Thunderbird 131 são vulneráveis.

Conclusões

Como mencionado em posts anteriores, as vulnerabilidades persistentes destacam a necessidade de maior conscientização entre os usuários. A falta de adoção de boas práticas, como manter os aplicativos mobile e de desktop atualizados, pode facilitar o roubo de informações e sua venda em mercados clandestinos. Mesmo vulnerabilidades de baixo impacto podem comprometer a segurança dos dispositivos, por isso, é fundamental estar bem informado e tomar medidas preventivas.