El investigador
Rafay Baloch ha publicado una vulnerabilidad, identificada como
CVE-2014-6041, que afecta a la mayoría de los sistemas
Android.
La
Política del mismo origen o Same Origin Policy (SOP)
es una medida de
seguridad básica que deben implementar todos los
navegadores actuales. La idea es muy sencilla: el código de una página
que se ejecuta en cliente (casi siempre javascript) no debe ser capaz de
acceder al código de otra.
Eso es porque, aunque hay algunas excepciones con unas pocas
propiedades y atributos, si se permitiera acceder globalmente desde un
origen a otro (Esquema, dominio y puerto) un sitio A podría acceder a
las propiedades de otro sitio B, es decir, un sitio malicioso podría
obtener las cookies, location, response, etc. de otro sitio por el que
está navegando el usuario. Un ejemplo claro sería cuando un usuario
accede a un sitio malicioso y es posible robar una sesión de Facebook
abierta en otra pestaña del
navegador.
Resulta que el navegador por defecto de todas las versiones de
Android
anteriores a la 4.4, el conocido como AOSP browser (Android Open Source
Project), permite evadir La Política del mismo origen (SOP) cargando
Javascript en un iframe o ventana cualquiera simplemente poniendo antes
de "javascript:..." un
byte nulo. Es lo que sería
UXSS (Universal Cross-site Scripting).
Además, para facilitarnos más aún la vida, jvennix-r7 ha publicado un
módulo de Metasploit que también soporta la evasión de x-frame-options
cocinando así un
exploit universal listo para su uso:
https://github.com/rapid7/metasploit-framework/pull/3759.
Se recomienda actualizar el navegador si hay actualización disponible, o
en caso contrario, utilizar navegadores alternativos, como
Firefox o
Chrome.
Para saber que versión de Android tiene un dispositivo hay que dirigirse al menú
Ajustes >
Acerca del teléfono >
Versión de Android.
Fuente:
OSI y
Hackplayers
