CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

14/02/2011

Nueva vulnerabilidad permite robar datos de Google Android

Un investigador ha revelado la manera de explotar una vulnerabilidad que afecta a los usuarios de Google Android y que puede ser utilizada para robar los datos.

Riesgo: Medio

Xuxian Jiang, profesor de la North Carolina State University, descubrió una vulnerabilidad en Google Android mientras trabajaba en un proyecto relacionado con el sistema operativo de Google.

Jiang ha explicado que el exploit que permite acceder a la vulnerabilidad no es particularmente difícil de implementar, pero que se necesitan conocimientos de JavaScript y de Android. Elfallo afecta fundamentalmente al navegador Android, aunque existe un componente ajeno al navegador que también está relacionado con la vulnerabilidad.

El profesor de la universidad asegura haber realizado pruebas en un Nexus S y que ha tenido éxito a la hora de explotar la vulnerabilidad, permitiéndole robar información personal del teléfono. Jiang ya ha explicado que el ataque funciona pidiéndole al usuario que visite un enlace malicioso.

Con este exploit un atacante podría obtener una lista de aplicaciones del dispositivo del usuario y cargar aplicaciones, además de leer y cargar cualquier archivo en la tarjeta SD del teléfono.

Sistemas Afectados: El fallo descubierto afecta a Android 2.3 y es similar a una vulnerabilidad descubierta el año pasado por el investigador Thomas Cannon en Android 2.2. Referencias:

None

Solución:

Un portavoz de Google asegura que la compañía ha contactado con Jiang y ya ha desarrollado un parche que soluciona el problema, parche que saldrá en la próxima actualización de mantenimiento de Android 2.3. Por su parte, Jiang dice que hasta que se haya instalado el parche los usuarios pueden defenderse del fallo deshabilitando temporalmente el soporte de JavaScript en el navegador de Android o utilizando otros navegadores.

Notas:

http://www.itespresso.es/descubren-una-vulnerabilidad-que-permite-robar-datos-de-google-android-49251.html
http://elblogdecalles.blogspot.com/2011/02/detectada-vulnerabilidad-en-android-23.html
http://vippermobile.blogspot.com/2011/01/detectada-vulnerabilidad-en-android-23.html
http://www.wayerless.com/2011/01/detectada-vulnerabilidad-en-android-2-3-gingerbread/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+Wayerless+%28Wayerless%29

 

Fuente: ITEspresso

CSIRT-CV