Um vulnerabilidade de natureza grave, foi descoberta no navegador da Web instalado por padrão em um grande número de dispositivos Android, de acordo com um alerta feito pelos pesquisadores. A questão, que foi atribuída ao identificador CVE-2014-6041, foi relatada pela primeira vez pelo pesquisador de segurança paquistanês Rafay Baloch, no final de agosto deste ano. Baloch descobriu que o navegador Android Platform Open Source (AOSP) instalado no Android 4.2.1, está vulnerável e permite bypass do Same Origin Policy (SOP). Ele testou suas descobertas em vários dispositivos, incluindo Qmobile Noir, Sony Xperia, Samsung Galaxy S3, HTC Wildfire e Motorola Razr.
Após Baloch ter feito uma publicação em um post no blog descrevendo o problema, pesquisadores da empresa de segurança Rapid7 também realizaram uma análise e determinaram que os navegadores AOSP, que são disponibilizados com com versões anteriores do sistema operacional Android 4.4, são afetados pela falha. SOP é um recurso de segurança que foi projetado para torná-lo possível de interação com as páginas do mesmo site, evitando que sites não relacionados entrem em conflito entre si.
Ao ignorar a SOP, um atacante pode obter acesso ao conteúdo dos sites abertos pela vítima. Nesse contexto, um atacante precisa apenas configurar um site malicioso, o que possibilita a colheita de dados a partir de sites abertos em diferentes abas.
Saiba Mais:
[1] Security Week http://www.securityweek.com/dangerou...ndroid-browser