Descubierta una vulnerabilidad de alto riesgo en dispositivos Android
- Vulnerabilidades
El fallo permite a los atacantes acceder a información confidencial en todos los dispositivos Android, incluido el historial del navegador, los mensajes de chat y las aplicaciones bancarias. El error se corrigió en Google Chrome 72, los usuarios deben verificar si tienen la versión parcheada.
El investigador de Positive Technologies, Sergey Toshin, ha descubierto una vulnerabilidad crítica en todas las versiones de Android desde la versión 4.4. El error se encontró en el componente WebView. Con él, un atacante podría usar malware instalado o aplicaciones instantáneas para tener acceso a los datos personales de los usuarios de Android. Google clasificó la gravedad de la vulnerabilidad (CVE-2019-5765) como alta.
WebView es un componente de Android que permite que las páginas web se muestren dentro de las aplicaciones de Android. La vulnerabilidad se detectó en el motor Chromium, que impulsa a WebView en las versiones de Android 4.4 y posteriores. La vulnerabilidad amenaza a los usuarios de navegadores móviles basados en Chromium, incluidos Google Chrome, Samsung Internet Browser y Yandex Browser.
Las aplicaciones instantáneas permiten a los usuarios probar una aplicación sin tener que instalarla primero. Después de que un usuario haya hecho clic en el enlace del navegador, el smartphone descarga un pequeño archivo que se ejecuta como una aplicación nativa, con acceso al hardware, pero que no ocupa almacenamiento en el dispositivo. Si se realiza un ataque a través de una aplicación instantánea, los datos se pueden interceptar después de que un usuario toque un enlace a una aplicación maliciosa.
Leigh-Anne Galloway, Cyber Security Resilience Lead en Positive Technologies, señala que "el componente WebView se usa en la mayoría de las aplicaciones móviles de Android, lo que hace que tales ataques sean extremadamente peligrosos. El escenario de ataque más obvio involucra aplicaciones de terceros poco conocidas. Después de una actualización que contiene una carga útil malintencionada, estas aplicaciones podrían leer información de WebView, lo que permite el acceso al historial del navegador, tokens de autenticación (que se usan comúnmente para iniciar sesión en aplicaciones móviles) y otros datos importantes”.
Desde la versión 7.0 de Android, WebView se ha implementado a través de Google Chrome y, por lo tanto, actualizar el navegador es suficiente para corregir el error. En versiones anteriores de Android, WebView debe actualizarse a través de Google Play. Los usuarios que no tienen Google Play Services en sus smartphones debe esperar una actualización de WebView del fabricante del dispositivo.