En septiembre hablábamos de la vulnerabilidad CVE-2014-6041 que permitía evadir el mecanismo de seguridad denominado Same Origin Policy (SOP) o Política del mismo Origen, utilizado por el navegador Android Open Source Platform (AOSP) que viene en versiones anteriores a Android 4.4.

Este bug permite a atacantes saltear el SOP en forma remota y que un sitio robe información de otro, ya que accede a propiedades como cookies o ubicación. El mecanismo en cuestión previene que un documento o script cargado en un “origen” pueda cargarse o modificar propiedades del documento desde un “origen” diferente, de manera que el código javascript de un origen no debería poder acceder a las propiedades de un sitio de otro origen.

Ahora, investigadores de Trend Micro en colaboración con Facebook han descubierto casos en los que se explota esta vulnerabilidad para comprometer cuentas de usuarios de Facebook, ya que el código del exploit en Metasploit está disponible públicamente, según reporta The Hacker News.

A pesar de que el SOP fue implementado (antes de ser reemplazado por Chrome) para evitar que se inyecte código en un sitio sin autorización de su dueño, el mecanismo es vulnerable a Cross-Site scripting (XSS), lo que permite el ingreso de código HTML en formularios web alterando su apariencia original. De esta forma, en versiones anteriores a Android 4.4 (Android KitKat) los atacantes pueden enviar a las víctimas un archivo malicioso JavaScript almacenado en una cuenta en la nube.

Al ejecutar este ataque, entonces, se envía al usuario de Facebook un enlace que podría dirigirlo a un sitio malicioso, según explica The Hacker News. Luego, gracias al código JavaScript, el atacante puede ejecutar acciones en nombre de la víctima usando su cuenta de Facebook, como agregar amigos, dar permisos a aplicaciones o dar "Me Gusta" y seguir páginas.

Además, los investigadores notaron que una forma de afectar a usuarios de Facebook con esta vulnerabilidad es a través de una aplicación oficial de BlackBerry, aprovechándose de su nombre como desarrollador confiable.

Cabe destacar que usuarios con versiones posteriores a Android KitKat no son vulnerables, pero aquellos que posean versiones anteriores no pueden desinstalar el navegador Android Open Source Platform, integrado al sistema operativo. Por tal motivo, lo más recomendable es deshabilitar la función "navegador" ("browser") desde los ajustes de aplicaciones. De todas formas, en septiembre Google lanzó dos parches para AOSP (1, 2).