Investigador publica código basado en web que ataca a Android

M.J. Keith, un investigador de seguridad de Alert Logic, ha publicado un ataque que puede ser utilizado contra algunas versiones de Google Android en Internet.

El ataque en si afecta a Android 2.1 y las versiones previas del sistema operativo. De acuerdo con M.J. Keith, el ha escrito el ataque que le permite correr un comando en la terminal de Android cuando la víctima visita el sitio web que lo contiene.

La vulnerabilidad la cual M.J. Keith ataca se encuentra en el motor de renderizado WebKit utilizado por Android. Al respecto, Google declaró haber estado informados sobre la vulnerabilidad en WebKit la cual podría impactar potencialmente y sólamente en versiones viejas del navegador incluido en Android. De acuerdo con Jay Nancarrow, vocero del gigante de las búsquedas, “el problema no afecta a Android 2.2 y versiones posteriores“.

El 36.2% de los teléfonos Android corren actualmente la versión 2.2 “Froyo” del sistema operativo, lo cual significa un alto riesgo para los usuarios de dispositivos móviles como el G1 y el HTC Droid Eris, ya que éstos no reciben el software actualizado y por lo tanto, corren versiones previas a Froyo.

El ataque de Keith podría ser utilizado para tomar fotografías almacenadas en el teléfono o mirar el historial de navegación de una persona, pero no para leer los mensajes de texto o realizar llamadas. De acuerdo con Keith, “se tiene total control sobre la tarjeta SD, así que cualquier cosa en la SD puede ser tomada“.

WebKit es un framework open source utilizado por los navegadores web Safari y Chrome, así como entre otros.

Aunque la vulnerabilidad ya había sido hecha pública, Keith la ha utilizado para atacar a Android, también ha enviado su ataque al sitio web Exploit Database.

Vía Computerworld