Vulnerabilidad en Android Webview permitiría instalar aplicaciones maliciosas

Las amenazas y agujeros de seguridad en sistemas operativos de dispositivos móviles se descubren de forma tan continua que ya no nos sorprendemos cuando se anuncia uno nuevo. Especialmente preocupante es el caso de Android, con la mayor cuota de mercado en dispositivos móviles pero también el blanco preferido de los ciberdelincuentes.

En esta ocasión, investigadores de AVG han descubierto una vulnerabilidad en el manejo de WebView, algo que un atacante podría aprovechar para conseguir que la víctima ejecutase una aplicación maliciosa en su dispositivo. WebView, por defecto, solo permite mostrar una aplicación web (o una página web) como parte de una aplicación para Android. Si deseamos que se cargue alguna web que utilice JavaScript, primero deberemos activarlo en WebView.

El problema reside en las versiones de Android 4.1 y anteriores, puesto que en esas versiones el método addJavascriptInterface inyecta un objeto Java en WebView. Esto permitiría preparar una web de tal forma que, cuando un usuario con una versión de Android vulnerable la visite, termine ejecutando un Javascript que permita la descarga e instalación de aplicaciones maliciosas en el dispositivo.

Android_WebView

Este fallo de diseño ya se encuentra solucionado en las versiones de Android 4.2 y posteriores, por lo que la solución ideal sería actualizar a esta versión. Sin embargo, el ecosistema Android no se caracteriza por tener sus dispositivos actualizados a la versión más reciente, algo que se complica aún más en el caso de aquellos móviles y tabletas que dependen de las operadoras de telefonía para poder acceder a la versión más reciente de su sistema operativo. Es de esperar entonces que, de no cambiar los planes de Google, millones de dispositivos queden expuestos a ataques que se aprovechen de esta vulnerabilidad.

Por suerte, como usuarios podemos evitar comprometer nuestros dispositivos móviles si andamos con cuidado y no pulsamos sobre enlaces sospechosos y evitando descargar aplicaciones de dudosa procedencia. Esto no es siempre fácil y basta con que nos descuidemos una sola vez para infectar nuestro dispositivo, por eso nunca debemos bajar la guardia.

Josep Albors

Nuevo troyano para Mac contiene referencias al Ejército Electrónico Sirio