Seguridad Android · 3 min read · Oct 24, 2025

El error de omisión de SOP en Android legado expone a miles de millones de teléfonos inteligentes y tabletas

Table Of Contents

  • El error de Android legado expone a miles de millones de teléfonos inteligentes y tabletas
  • Vulnerabilidad universal de cross-scripting
  • Desventaja de ser de código abierto
  • Prueba de concepto
  • Prueba de concepto utilizando la llamada Postmessage
  • Código vulnerable

El error de Android legado expone a miles de millones de teléfonos inteligentes y tabletas

Un investigador paquistaní, Rafay Baloch, ha descubierto un error de omisión de SOP presente en el navegador predeterminado de Android (navegador de stock), que se envía en cada versión del sistema operativo de código abierto hasta la 4.4 KitKat. El experto coordinó la divulgación del error con la firma de seguridad Rapid7, que lanzó un módulo de Metasploit para ello. El navegador predeterminado se ejecuta en los dispositivos de aproximadamente el 70% de los usuarios de teléfonos inteligentes que utilizan versiones más antiguas de Android, lo que expone a miles de millones de usuarios a la falla.

Vulnerabilidad universal de cross-scripting

La vulnerabilidad, que afecta al componente WebView, ocurre “cuando se reemplaza el atributo ‘data’ de un objeto HTML dado con un esquema de URL de JavaScript”, explicó Tod Beardsley, líder técnico del marco Metasploit. Un atacante puede aprovechar la falla UXSS para extraer datos de cookies y contenidos de página de una ventana de navegador vulnerable, dijo Rapid7. La compañía ha señalado que las URL de destino que utilizan X-Frame-Options no se ven afectadas. El agujero de seguridad puede ser explotado en todas las versiones del navegador de la Plataforma de Código Abierto de Android (AOSP), incluidas las que utilizan WebView.

Desventaja de ser de código abierto

Google lanzó un parche para esta falla. Sin embargo, una gran desventaja de la forma en que trabaja la comunidad de Android es que depende de los fabricantes propagar actualizaciones a sus usuarios, lo que la mayoría de ellos no se molesta en hacer. Esto se siente cuando Google lanza nuevas versiones de Android y la presión también se siente ahora. Dado que la mayoría de los fabricantes pueden no preocuparse por la actualización, millones que utilizan una versión más antigua de Android quedan atrapados con esta vulnerabilidad para siempre, a menos que compren un nuevo dispositivo que venga con la última versión de Android 5.0 Lollipop. Pero estos usuarios generalmente pertenecen al segmento de gama baja y media y no pueden permitirse el último dispositivo en primer lugar, por lo que comprar un nuevo dispositivo no es realmente una opción para ellos.

“Para muchas, muchas personas, comprar un nuevo teléfono simplemente no es práctico; las personas que son más propensas a verse afectadas por los errores de Android ‘legado’ son las mismas personas que no podían permitirse un elegante dispositivo Android ‘último modelo’ en primer lugar”, dijo Beardsley en una publicación de blog. “En otras palabras, parece que mil millones de teléfonos no van a ver este parche en el corto plazo, si es que alguna vez lo hacen. Es bueno que el parche exista, pero Google no parece tener ninguna forma práctica de hacerlo llegar al mundo.”

Prueba de concepto

Lo siguiente es la prueba de concepto: