Un fallo de seguridad en Android que supone un "desastre para la privacidad"

Fue descubierto hace dos semanas y denunciado sin recibir mucho eco, pero ha sido en las últimas horas cuando el problema ha adquirido toda su dimensión. Se trata de un fallo de seguridad en el navegador de internet que muchos dispositivos equipados con Android tienen instalado por defecto. Según el proyecto de seguridad Metasploit, que detecta y ponea prueba fallos de seguridad informática, podría llegar a ser un "desastre para la privacidad" de los usuarios.

El navegador Android Browser tiene un fallo, bautizado como CVE-2014-6041, que permite a terceros ejecutar código JavaScript en cualquier ventana que el usuario tenga abierta, pudiendo leer cookies ycontraseñas y por tantoacceder y enviar correos electrónicos o cualquier otro tipo de suplantación de identidad.

"Esto significa que cualquier web aleatoria (por ejemplo una controlada por un spameador o por un espía) puede cotillear el contenido de cualquier otra página. Imagina que has entrado en una web infectada a la vez que tenías tu correo abierto en otra ventana del navegador. El atacante puede sacar la información de tu email y ver lo mismo que tu navegador. O peor, puede obtener una copia de las cookies de tu sesión y piratearla, incluso leer y escribir correos en tu nombre".

A quién afecta y cómo evitarlo

El alcance del fallo no está claro. Podrían verse afectados todos los usuarios que utilicen la versiones anteriores a Android 4.2. Fue en ese sistema operativo cuando Google cambió a Chrome como opción predeterminada, aunque algunas partes del código de Android Browser siguieron empleándose en las funciones web dentro de las aplicaciones. La versión Android 4.4 supuso el cambio definitivo y completo.

Según los datos de Google, el 24,5% de los dispositivos con Android ya funcionan con la versión 4.4, de forma que estarían fuera de peligro a no ser que hubiesen optado por instalarlo personalmente. Todos los demás estarían expuestos al fallo de una u otra forma.

Aunque existe la posibilidad de no verse nunca afectados, la forma más sencilla de protegerse ante este fallo es instalar y utilizar un navegador que no esté basado en este código, como son por ejemplo Chrome, Firefox uOpera.

"Necesita arreglo, y rápido"

Fue el analista de seguridad Rafay Baloch el primero en dar la alarma sobre este problema, originado en un mecanismo de seguridad llamado Same Origin Policy (SOP). Los navegadores siguen esta política, que básicamente significaque el código JavaScript de un origen solo puedeleer o modificar elementos (como partes de una web) que provengan del mismo origen que ese código. Aunque hay excepciones, la norma es que un código no puede acceder a otro de distinto origen.

Baloch descubrió que el código JavaScript construido de una determinada manera podía saltarse la SOP y acceder libremente a otros sites sin restricciones. "Debido a la naturaleza de esta medida y a su potencial impacto, los navegadores siguen modelos muy estrictos y es raro encontrarse un fallo en la SOP. Sin embargo, de vez en cuando ocurre".

"Esto significa que, potencialmente, cualquier web vista desde este navegador puede estar robando información sensible. Es un bug que necesita arreglo, y rápido", señala Peter Bright, periodista de Arstechnica.

Algo que el propio Baloch intentó conseguir avisando a Google del problema que había detectado, a lo que respondieron que no habían podido comprobar la existencia de este fallo y procedían a cerrar la reclamación. "Cuando publiqué el post con la información, recibí una nueva respuesta diciendo que por fin habían podido comprobarlo y que estaban trabajando para arreglarlo".