Descubren una vulnerabilidad que permite robar datos de Google Android

Xuxian Jiang, profesor de la North Carolina State University, descubrió una vulnerabilidad en Google Android mientras trabajaba en un proyecto relacionado con el sistema operativo de Google. El fallo descubierto afecta a Android 2.3 y es similar a una vulnerabilidad descubierta el año pasado por el investigador Thomas Cannon en Android 2.2.

Jiang ha explicado que el exploit que permite acceder a la vulnerabilidad no es particularmente difícil de implementar, pero que se necesitan conocimientos de JavaScript y de Android. Elfallo afecta fundamentalmente al navegador Android, aunque existe un componente ajeno al navegador que también está relacionado con la vulnerabilidad.

El profesor de la universidad asegura haber realizado pruebas en un Nexus S y que ha tenido éxito a la hora de explotar la vulnerabilidad, permitiéndole robar información personal del teléfono. Jiang ya ha explicado que el ataque funciona pidiéndole al usuario que visite un enlace malicioso.

Con este exploit un atacante podría obtener una lista de aplicaciones del dispositivo del usuario y cargar aplicaciones, además de leer y cargar cualquier archivo en la tarjeta SD del teléfono.

Un portavoz de Google asegura que la compañía ha contactado con Jiang y ya ha desarrollado un parche que soluciona el problema, parche que saldrá en la próxima actualización de mantenimiento de Android 2.3. Por su parte, Jiang dice que hasta que se haya instalado el parche los usuarios pueden defenderse del fallo deshabilitando temporalmente el soporte de JavaScript en el navegador de Android o utilizando otros navegadores.