Sicurezza Android · 4 min read · Oct 24, 2025

La vulnerabilità di bypass del SOP del browser Android predefinito consente agli hacker di rubare dati dalle schede aperte

Table Of Contents

  • Vulnerabilità di bypass del SOP del browser Android predefinito
  • Solo i browser predefiniti di Android sono interessati
  • Prova di concetto
  • Vulnerabilità di bypass del SOP corretta in Android KitKat 4.4 e versioni successive
  • Gli utenti Android >4.4 più vecchi sono ancora vulnerabili?
  • Smartphone vulnerabili

Vulnerabilità di bypass del SOP del browser Android predefinito

Rafay Baloch, ricercatore di sicurezza, ha scoperto una vulnerabilità nei browser predefiniti di Android che i potenziali hacker possono utilizzare per rubare dati sensibili dalle schede/pagine aperte. L’ultima vulnerabilità di bypass della stessa origine (SOP) è la seconda scoperta dal ricercatore Rafay Baloch, che ha scoperto la prima, CVE-2014-6041, il mese scorso.

Solo i browser predefiniti di Android sono interessati

La vulnerabilità di bypass della stessa origine (SOP) interessa solo il browser predefinito di Android. La vulnerabilità riguarda il modo in cui Javascript viene gestito dalla funzione Android responsabile del caricamento degli URL dei frame. Normalmente, in qualsiasi browser, il SOP impedisce al JavaScript su una pagina o scheda di accedere ai dati/contenuti su un’altra pagina/scheda. Ma il browser Android ha una vulnerabilità che consente a un potenziale hacker di bypassare il SOP e leggere/raccogliere dati sulle altre schede. In termini semplici, se hai una scheda/pagina aperta in cui hai inserito i dettagli della tua carta di credito e apri la pagina con il JavaScript che ha bypassato il SOP, è probabile che l’hacker possa leggere i dettagli della carta di credito dall’altra pagina aperta.

Prova di concetto

Rafay ha pubblicato una prova di concetto sul suo blog per dimostrare che i browser Android sono effettivamente vulnerabili. La PoC è riportata di seguito per gentile concessione di Rafay Baloch.

Vulnerabilità del browser Android POC

Rafay dice nel suo blog: “Poiché il mio recente bypass del SOP di Android [CVE-2014-6041] ha suscitato molte reazioni nella comunità infosec, sono stato motivato a fare un po’ di ricerca in più sul browser Android, e si è scoperto che le cose sono molto peggiori di quanto pensassi, sono riuscito a innescare diverse vulnerabilità interessanti all’interno del browser Android, una delle quali è un’altra vulnerabilità di bypass della stessa origine. Ciò che rende tutto ciò peggiore è che lo stesso bypass del SOP è già stato corretto all’interno di Chrome anni fa, tuttavia le patch non sono state applicate al browser Android < 4.4.”

Vulnerabilità di bypass del SOP corretta in Android KitKat 4.4 e versioni successive

Rafay afferma che Google ha notato la vulnerabilità e l’ha corretta nel suo ultimo sistema operativo, Android KitKat 4.4. Ma per qualche strano motivo non è stata corretta nelle versioni di Android inferiori a 4.4 da Google. In un post separato su ThreatPost, Google ha dichiarato che questa vulnerabilità è stata corretta con il rilascio per Android 4.1-4.3 alias Jellybean.

Gli utenti Android >4.4 più vecchi sono ancora vulnerabili?

Come detto sopra, gli utenti Android più vecchi sono ancora vulnerabili a questa grave minaccia alla sicurezza. Google distribuisce le ultime versioni di Android sui suoi dispositivi stock come Google Nexus ecc. e molti grandi produttori rilasciano il firmware più recente per i loro prodotti di punta, ma la maggior parte degli smartphone e tablet sul mercato non sono né dispositivi Google Play Edition né di punta come Sony Z3 o Samsung Galaxy s5.

Questa vulnerabilità colpisce la maggior parte degli utenti che si trovano nel segmento degli acquirenti di smartphone di fascia bassa e media. La vulnerabilità è un “problema importante”, ha affermato Ted Eull, vicepresidente dei servizi mobili per il fornitore di sicurezza viaForensics. “Poiché il browser era incluso di default su molti dispositivi pre-KitKat (versione 4.4), ci sono potenzialmente centinaia di migliaia di utenti interessati,” ha detto.

Smartphone vulnerabili

I telefoni che sono probabilmente vulnerabili includono il Samsung Galaxy S3, il Samsung Galaxy Note 2 e tutti gli smartphone e tablet Samsung di fascia media e bassa, il LG Optimus G, il LG G2 e tutti gli smartphone e tablet LG di fascia media e bassa e il Motorola Droid RAZR, l’intera linea di smartphone di Sony ad eccezione di quelli che sono stati aggiornati ad Android 4.4 KitKat.

Fortunatamente, solo i browser predefiniti di Android sono interessati dalla vulnerabilità di bypass del SOP. Se utilizzi uno smartphone/tablet Android con un sistema operativo precedente ad Android 4.4 KitKat, è consigliabile navigare in rete tramite Chrome, Firefox o qualsiasi altro browser. Se non hai ancora scaricato Chrome o Firefox, ti suggeriamo di scaricarlo ora dal Google Play Store e impostare QUEL browser come predefinito.

Se stai utilizzando un dispositivo Android rootato, dovresti disinstallare il browser Android predefinito.

Quando è stato chiesto di commentare questa grave vulnerabilità e cosa stavano facendo per proteggere i loro clienti, AT&T non ha risposto a una richiesta di commento, mentre Verizon Wireless ha sottolineato di avere un sito web dove i clienti possono andare a controllare se sono disponibili aggiornamenti per il loro telefono.

*“Consegniamo regolarmente aggiornamenti software dopo un attento collaudo per garantire che i clienti abbiano un’ottima esperienza,” ha detto Debra Lewis, portavoce dell’azienda.

Share: X/Twitter LinkedIn
#Sicurezza Android

Ricevi i nuovi post nella tua casella di posta.

Nessuno spam. Disiscriviti in qualsiasi momento.