:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/metroworldnews/66YOPUY4MVBLJAUXPW6PXV5O3Y.jpg)
Una vulnerabilidad en JavaScript dentro del sistema operativo para móviles de Google, Android, fue descubierta hace unos días. Este ‘exploit’ permitiría a sitios web fraudulentos sacar información desde la tarjeta SD del smartphone gracias al permiso de lectura que otorga JavaScript en el navegador del sistema operativo.
La vulnerabilidad fue descubierta por el investigador de seguridad Thomas Cannon y como prueba simuló una página maliciosa y robó sus propios datos desde la tarjeta SD usando un HTC Desire con Android 2.2 ‘Froyo’, todo ello registrado en un video (al final de la nota).
A pesar que para que la vulnerabilidad tenga éxito se debe conocer de antemano la ruta del directorio a atacar, Cannon asegura que muchas aplicaciones guardan datos de forma regular en directorios conocidos de una SD y las fotografías son almacenadas igualmente en un directorio definido de antemano.
La vulnerabilidad afectaría a cualquier smartphone con cualquier versión de Android y afecta solamente a información contenida en una tarjeta SD externa.
Cannon ya informó a Google de la situación y la compañía ya se encuentra trabajando en una solución, sin embargo, “lo más probable es que muchos usuarios queden en peligro por mucho tiempo si es que no para siempre”, afirma Cannon, todo esto debido a la cadena que debe seguir cada actualización de Android entre fabricantes y operadoras para llegar al usuario final.
[vimeo]http://vimeo.com/17030639[/vimeo]
Link: Android SD card exploit exposed (The Inquirer)
