En las últimas horas se ha revolucionado el panorama de los usuarios del sistema operativo Android por la detección de un problema que afecta al navegador nativo de internet que viene instalado por defecto y que permitiría a un usuario mal-intencionado ejecutar código javascript desde una página web de su control y que permitiría acceder a cookies, contraseñas e incluso a algunos ficheros de sistema del terminal.

Según Metasploit grupo dedicado a la investigación y puesta a prueba de la seguridad informática, más concretamente el analista Rafay Baloch que publicó en su blog la increíble noticia el pasado 1 de septiembre, la vulnerabilidad podría llegar a ser un desastre para la privacidad de los usuarios.

Esto significa que cualquier web aleatoria (por ejemplo una controlada por un 'spameador' o por un espía) puede cotillear el contenido de cualquier otra página.

Hace varias semanas que se conoce el fallo del navegador Android Browser pero hasta ahora no se ha detectado la totalidad de la envergadura del defecto bautizado como CVE-2014-6041. Según explican si un usuario accediera a una página con el código malicioso, mientras en otra pestaña comprueba su correo, la primera sería capaz de acceder a las cookies de la sesión de correo, robar las credenciales de autenticación y piratear la cuenta, pudiendo de ésta manera revisar los correos del usuario con posterioridad e incluso enviar nuevos correos electrónicos en su nombre al poder suplantar su identidad.

El problema radica en la Same Origin Policy (SOP), que es una premisa de seguridad que siguen los navegadores actuales como piedra angular de la privacidad en la web, y se basa en que una página que ejecute código javascript sólo puede acceder, modificar e interactuar con los datos y código procedentes de su misma fuente o página web, pero indican que en ciertas condiciones, el código javascript podría ser lanzado para actuar con páginas de fuentes diferentes.

No se tiene muy claro que versiones del sistema operativo Android podrían estar afectadas, aunque a priori cualquier versión anterior a Android 4.2 podría sufrir la vulnerabilidad, que es cuando Google, propietaria del sistema Android, cambió el navegador predeterminado incluyendo su navegador Google Chrome en las nuevas versiones. Los usuarios que tengan instalada versiones 4.4 no deberían verse afectados, aunque aún no queda claro que se haya podido heredar parte del código que propicia la vulnerabilidad además de que menos del 25% de los terminales actuales cuentan ya con ésta versión y muchos de los que faltan no verán llegar la actualización a Kit-Kat.

Aunque puede que nunca nos veamos afectados, para protegerse del fallo se aconseja instalar cualquier otro navegador móvil que no esté basado en el código fuente de Android Browser, como podrían ser Google Chrome, Firefox u Opera.

Navegador Firefox para AndroidNavegador Google Chrome para AndroidNavegador Opera para Android