Seguridad Android · 4 min read · Oct 24, 2025

La vulnerabilidad de bypass del SOP del navegador predeterminado de Android permite a los hackers robar datos de pestañas abiertas

Table Of Contents

  • Vulnerabilidad de bypass del SOP del navegador predeterminado de Android
  • Solo navegadores predeterminados de Android afectados
  • Prueba de concepto
  • Vulnerabilidad de bypass del SOP parcheada en Android KitKat 4.4 y superior
  • ¿Usuarios de Android >4.4 aún vulnerables?
  • Smartphones vulnerables

Vulnerabilidad de bypass del SOP del navegador predeterminado de Android

Rafay Baloch, investigador de seguridad, ha descubierto una vulnerabilidad en los navegadores predeterminados de Android que los hackers potenciales pueden usar para robar datos sensibles de pestañas/páginas abiertas. La última vulnerabilidad de bypass de la política de mismo origen (SOP) es la segunda descubierta por el investigador Rafay Baloch, quien descubrió la primera, CVE-2014-6041, el mes pasado.

Solo navegadores predeterminados de Android afectados

La vulnerabilidad de bypass de la política de mismo origen (SOP) afecta solo al navegador predeterminado de Android. La vulnerabilidad está en cómo se maneja Javascript por la función de Android responsable de cargar URLs de marcos. Normalmente, en cualquier navegador, el SOP impide que el JavaScript en una página o pestaña acceda a datos/contenido en otra página/pestaña. Pero el navegador de Android tiene una falla que permite a un hacker potencial eludir el SOP y leer/recopilar datos en las otras pestañas. En términos simples, si tienes una pestaña/página abierta donde has llenado los detalles de tu tarjeta de crédito y abres la página con el JavaScript que ha eludido el SOP, es probable que el hacker pueda leer los detalles de la tarjeta de crédito de la otra página abierta.

Prueba de concepto

Rafay ha publicado una Prueba de Concepto en su weblog para demostrar que los navegadores de Android son, de hecho, vulnerables. La PoC se presenta a continuación, cortesía de Rafay Baloch.

Vulnerabilidad del navegador Android POC

Rafay dice en su blog: “Dado que mi reciente bypass del SOP de Android [CVE-2014-6041] provocó mucha erupción entre la comunidad de infoseguridad, me motivé a investigar un poco más sobre el navegador de Android, resulta que las cosas son mucho peores de lo que pensaba, logré activar varias vulnerabilidades interesantes dentro del navegador de Android, una de ellas siendo otra vulnerabilidad de bypass de la política de mismo origen. Lo que hace que sea peor es que el mismo bypass de SOP ya fue corregido dentro de Chrome hace años, sin embargo, los parches no se aplicaron al navegador de Android < 4.4.”

Vulnerabilidad de bypass del SOP parcheada en Android KitKat 4.4 y superior

Rafay dice que Google ha notado la falla y la ha parcheado en su último sistema operativo, Android KitKat 4.4. Pero por alguna razón extraña no ha sido parcheada en la versión de Android anterior a 4.4 por Google. En una publicación separada en ThreatPost, Google ha declarado que esta vulnerabilidad ha sido parcheada con el lanzamiento de Android 4.1-4.3, también conocido como Jellybean.

¿Usuarios de Android >4.4 aún vulnerables?

Como se dijo anteriormente, los usuarios de Android más antiguos aún son vulnerables a esta importante amenaza de seguridad. Google distribuye las últimas versiones de Android en sus dispositivos de edición de stock como Google Nexus, etc., y muchos grandes fabricantes lanzan el último firmware a sus productos insignia, pero la mayoría de los smartphones y tabletas en el mercado no son dispositivos de edición de Google Play ni insignias como el Sony Z3 o el Samsung Galaxy S5.

Esta falla afecta a la mayoría de los usuarios que se encuentran en el segmento de compradores de smartphones de gama baja y media. La vulnerabilidad es un “problema importante”, dijo Ted Eull, vicepresidente de servicios móviles para el proveedor de seguridad viaForensics. “Debido a que el navegador se incluyó por defecto en muchos dispositivos anteriores a KitKat (versión 4.4), hay potencialmente cientos de miles de usuarios afectados”, dijo.

Smartphones vulnerables

Los teléfonos que probablemente sean vulnerables incluyen el Samsung Galaxy S3, el Samsung Galaxy Note 2, y todos los smartphones y tabletas de Samsung de gama media y baja, el LG Optimus G, el LG G2 y todos los smartphones y tabletas de LG de gama media y baja, y el Motorola Droid RAZR, toda la línea de smartphones de Sony, excepto aquellos que han sido actualizados a Android 4.4 KitKat.

Afortunadamente, solo los navegadores predeterminados de Android están afectados por la vulnerabilidad de bypass del SOP. Si usas cualquier smartphone/tableta Android que tenga un sistema operativo anterior a Android 4.4 KitKat, se recomienda que navegues por la web a través de Chrome, Firefox o cualquier otro navegador. Si aún no has descargado Chrome o Firefox, se sugiere que lo descargues ahora desde Google Play Store y establezcas ESE navegador como tu predeterminado.

Si estás usando un dispositivo Android rooteado, deberías desinstalar el navegador predeterminado de Android.

Cuando se les pidió comentar sobre esta grave vulnerabilidad y qué estaban haciendo para proteger a sus clientes, AT&T no respondió a una solicitud de comentario, mientras que Verizon Wireless señaló que tiene un sitio web donde los clientes pueden verificar si hay actualizaciones disponibles para su teléfono.

“Regularmente entregamos actualizaciones de software después de pruebas exhaustivas para asegurar que los clientes tengan una gran experiencia”, dijo Debra Lewis, portavoz de la compañía.

Share: X/Twitter LinkedIn
#Seguridad Android

Recibe nuevas publicaciones en tu bandeja de entrada.

No spam. Cancela la suscripción en cualquier momento.