El fallo descubierto por un grupo de investigadores permitía que remotamente se instalaran aplicaciones de manera arbitraria y con permisos arbitrarios en los teléfonos de las víctimas simplemente llevándoles a un enlace malicioso. Además, el exploit funcionaba de manera universal en todos los dispositivos Android, de todas las versiones y arquitecturas. Así lo ha explicado Jon Oberheide, cofundador y CTO de la empresa de seguridad Duo Security.
Oberheide ha dicho también que la vulnerabilidad XSS estaba “madura” y que es increíble que no se haya descubierto antes, sobre todo porque este tipo de vulnerabilidades son muy comunes en los sitios web.
Android Martek permite instalar de forma remota nuevas aplicaciones en sus terminales mientras están navegando en el site a través de sus ordenadores. Para Oberheide esto ofrece una buena experiencia de usuario, pero genera peligro porque cualquier vulnerabilidad XSS en la tienda de aplicaciones permite que un atacante fuerce al navegador y termine instalando aplicaciones no deseadas en el terminal.
El experto en seguridad ha comentado que Google debería incluir una característica que pida al dueño del teléfono Android que confirme si quiere descargar una aplicación en lugar de descargarla e instalarla de manera remota sin advertencia ninguna.
La noticia de un fallo en Android Market se produce tan sólo una semana después de que Google haya anunciado que ha eliminado un total de 58 aplicaciones falsas de su tienda de aplicaciones que ya se habían descargado 260.000 veces.
No hay comentarios:
Publicar un comentario