Acaba de descubrirse una nueva vulnerabilidad que afecta en general a todos los smartphones con Android. Permite que un sitio web malicioso consiga todos los ficheros almacenados en la tarjeta de memoria SD insertada en el teléfono móvil. Además, ese fallo de seguridad también deja desprotegidos otros datos y ficheros guardados en el propio teléfono móvil.
El experto en seguridad, Thomas Cannon, ha descubierto esta vulnerabilidad y explica en su blog que es fruto de una mezcla de factores. En primer lugar, el navegador web de Android no avisa al usuario cuando descarga un fichero, sino que lo hace automáticamente. Utilizando un script de Java se puede lograr abrir dicho fichero automáticamente para que lo muestre el navegador. Cuando se abre un fichero HTML en ese contexto local, el navegador de Android ejecuta el script sin alertar al usuario. De ese modo, el script de Java puede leer los contenidos de los archivos y otros datos. Luego, los contenidos que ha leído el script de Java se pueden redirigir a un sitio web malicioso.
0 comentarios