Segurança Android · 4 min read · Oct 24, 2025

Falha de bypass do SOP do navegador padrão do Android permite que hackers roubem dados de abas abertas

Table Of Contents

  • Falha de bypass do SOP do navegador padrão do Android
  • Apenas navegadores padrão do Android afetados
  • Prova de Conceito
  • Falha de bypass do SOP corrigida no Android KitKat 4.4 e acima
  • Usuários de Android >4.4 ainda vulneráveis?
  • Smartphones vulneráveis

Falha de bypass do SOP do navegador padrão do Android

Rafay Baloch, pesquisador de segurança, descobriu uma falha nos navegadores padrão do Android que, hackers potenciais podem usar para roubar dados sensíveis de abas/páginas abertas. A mais recente vulnerabilidade de bypass da política de mesma origem (SOP) é a segunda descoberta pelo pesquisador Rafay Baloch, que descobriu a primeira, CVE-2014-6041, no mês passado.

Apenas navegadores padrão do Android afetados

A vulnerabilidade de bypass da política de mesma origem (SOP) afeta apenas o navegador padrão do Android. A vulnerabilidade está na forma como o Javascript é tratado pela função Android responsável por carregar URLs de quadro. Normalmente, em qualquer navegador, a SOP impede que o JavaScript em uma página ou aba acesse dados/conteúdo em outra página/aba. Mas o navegador Android tem uma falha que permite que um hacker potencial contorne a SOP e leia/colete dados nas outras abas. Em linguagem simples, se você tiver uma aba/página aberta onde preencheu os detalhes do seu cartão de crédito e abrir a página com o JavaScript que contornou a SOP, as chances são de que o hacker poderá ler os detalhes do cartão de crédito da outra página aberta.

Prova de Conceito

Rafay publicou uma Prova de Conceito em seu weblog para provar que os navegadores Android são de fato vulneráveis. O PoC é dado abaixo, cortesia de Rafay Baloch.

Vulnerabilidade do navegador Android POC

Rafay diz em seu blog: “Desde que meu recente bypass do SOP do Android [CVE-2014-6041] provocou muita erupção na comunidade de infosec, fiquei motivado a pesquisar um pouco mais sobre o navegador Android, e descobri que as coisas estão muito piores do que eu pensava, consegui acionar várias vulnerabilidades interessantes dentro do navegador Android, uma delas sendo outra vulnerabilidade de Bypass da Política de Mesma Origem. O que torna isso pior é que o mesmo bypass da SOP já foi corrigido no Chrome há anos, no entanto, os patches não foram aplicados ao navegador Android < 4.4.”

Falha de bypass do SOP corrigida no Android KitKat 4.4 e acima

Rafay diz que o Google notou a falha e a corrigiu em seu mais recente sistema operacional, o Android KitKat 4.4. Mas, por uma razão estranha, não foi corrigido na versão do Android abaixo de 4.4 pelo Google. Em uma postagem separada no ThreatPost, o Google afirmou que essa vulnerabilidade foi corrigida com o lançamento para Android 4.1-4.3, também conhecido como Jellybean.

Usuários de Android >4.4 ainda vulneráveis?

Como dito acima, usuários de Android mais antigos ainda estão vulneráveis a essa grande ameaça de segurança. O Google distribui as versões mais recentes do Android em seus dispositivos e tablets de edição padrão, como Google Nexus, etc., e muitos grandes fabricantes lançam o firmware mais recente para seus produtos de destaque, mas a maioria dos smartphones e tablets no mercado não são dispositivos da edição Google Play nem produtos de destaque como Sony Z3 ou Samsung Galaxy s5.

Essa falha atinge a maioria dos usuários que estão na faixa de compradores de smartphones de classe média e baixa. A vulnerabilidade é um “grande problema”, disse Ted Eull, vice-presidente de serviços móveis da fornecedora de segurança viaForensics. “Porque o navegador foi incluído por padrão em muitos dispositivos pré-KitKat (versão 4.4), há potencialmente centenas de milhares de usuários afetados”, disse ele.

Smartphones vulneráveis

Os telefones que provavelmente são vulneráveis incluem o Samsung Galaxy S3, o Samsung Galaxy Note 2, e todos os smartphones e tablets Samsung de segmento médio e baixo, o LG Optimus G, o LG G2 e todos os smartphones e tablets LG de segmento médio e baixo e o Motorola Droid RAZR, toda a linha de smartphones da Sony, exceto aqueles que foram atualizados para Android 4.4 KitKat.

Felizmente, apenas os navegadores padrão do Android são afetados pela vulnerabilidade de bypass do SOP. Se você usar qualquer smartphone/tablet Android que tenha um sistema operacional anterior ao Android 4.4 KitKat, é aconselhável que você navegue na web via Chrome, Firefox ou qualquer outro navegador. Se você ainda não baixou o Chrome ou o Firefox, é sugerido que você o baixe agora na Google Play Store e defina ESSE navegador como seu padrão.

Se você estiver usando um dispositivo Android com root, deve desinstalar o navegador padrão do Android.

Quando questionada sobre essa séria vulnerabilidade e o que estavam fazendo para proteger seus clientes, a AT&T não respondeu a um pedido de comentário, enquanto a Verizon Wireless apontou que possui um site onde os clientes podem verificar se há atualizações disponíveis para seu telefone.

“Regularmente entregamos atualizações de software após testes rigorosos para garantir que os clientes tenham uma ótima experiência”, disse Debra Lewis, porta-voz da empresa.

Share: X/Twitter LinkedIn
#Segurança Android

Receba novas postagens na sua caixa de entrada

Sem spam. Cancele a assinatura a qualquer momento.