Lanzan un código que permite atacar dispositivos Android

Un investigador de seguridad ha lanzado un código que podría ser utilizado para atacar alguns versiones de Android a través de Internet.

El ataque se centra en los navegadores de Android 2.1 y anteriores, y se ha sabido de su existencia la pasada semana, cuando M.J. Keith, investigador de seguridad de Alert Logic, lo anunció durante la conferencia HouSecCon celebrada en Houston. Keith asegura que ha escrito un código que le permite ejecutar una simple línea de comando en Android cuando la víctima visita una página web que contiene su código de ataque.

El error utilizado en el ataque de Keith se encuentra en el motor del navegador WebKit utilizado en Android. Google ha dicho que conoce la vulnerabilidad y que esta no afecta a Android 2.2 y versiones anteriores. Google Android 2.2 funciona en el 36,2% de terminales Android, el resto, muchos de los cuales no se pueden actualizar, corren el riesgo de ataque.

El hecho de que Android separe los diferentes componentes del sistema operativo hace que el exploit de Keith no le permita acceder al teléfono afectado, aunque sí podrá acceder a todo lo que el navegador pueda leer. Esto significa, según los expertos, que no podrá utilizar un terminal para leer o enviar mensajes SMS o hacer llamadas, pero sí robar fotografías almacenadas o echar un vistazo al historial del navegador.

WebKit es un software de código abierto que se utiliza en los navegadores Safary y Chrome y otros productos. El fallo en WebKit que Keith está explotando ya se ha hecho público, pero el investigador de seguridad lo está aplicando para atacar Android.