Erro de bypass de SOP em Android legado expõe bilhões de smartphones e tablets

Tabela de Conteúdos

• Erro legado do Android expõe bilhões de smartphones e tablets
• Vulnerabilidade Universal de Cross-scripting
• Desvantagem de ser Open Source
• Prova de Conceito
• Prova de Conceito Usando Chamada Postmessage
• Código Vulnerável

Erro legado do Android expõe bilhões de smartphones e tablets

Um pesquisador paquistanês, Rafay Baloch, descobriu um erro de bypass de SOP presente no navegador padrão do Android (navegador padrão), enviado em todas as versões do sistema operacional de código aberto até a versão 4.4 KitKat. O especialista coordenou a divulgação do erro com a empresa de segurança Rapid7, que lançou um módulo Metasploit para isso. O navegador padrão é utilizado em dispositivos de aproximadamente 70% dos usuários de smartphones que usam versões mais antigas do Android, deixando bilhões de usuários expostos à falha.

Vulnerabilidade Universal de Cross-scripting

A vulnerabilidade, que afeta o componente WebView, ocorre “quando se substitui o atributo ‘data’ de um determinado objeto HTML por um esquema de URL JavaScript”, explicou Tod Beardsley, líder técnico do framework Metasploit. Um atacante pode explorar a falha UXSS para extrair dados de cookies e conteúdos de página de uma janela de navegador vulnerável, disse a Rapid7. A empresa observou que URLs de destino que usam X-Frame-Options não são afetadas. O buraco de segurança pode ser explorado em todas as versões do navegador da Android Open Source Platform (AOSP), incluindo aquelas que usam WebView.

Desvantagem de ser Open Source

O Google lançou um patch para essa falha. No entanto, uma grande desvantagem da forma como a comunidade Android funciona é que cabe aos fabricantes propagar atualizações para seus usuários - o que a maioria deles não se preocupa em fazer. Isso é sentido quando o Google lança novas versões do Android e a pressão também está sendo sentida agora. Como a maioria dos fabricantes pode não se preocupar com a atualização, milhões que estão usando uma versão mais antiga do Android ficam presos a essa vulnerabilidade para sempre, a menos que comprem um novo dispositivo que venha com a versão mais recente do Android 5.0 Lollipop. Mas esses usuários geralmente pertencem ao segmento de baixa e média renda e não podem arcar com o custo do dispositivo mais recente em primeiro lugar, então comprar um novo dispositivo não é realmente uma opção para eles.

“Para muitas, muitas pessoas, comprar um novo telefone simplesmente não é prático; as pessoas que são mais afetadas por erros ‘legados’ do Android são as mesmas que não podiam pagar um dispositivo Android ‘mais recente’ em primeiro lugar”, disse Beardsley em um post no blog. “Em outras palavras, parece que um bilhão de telefones não verá esse patch tão cedo, se é que algum dia verá. É bom que o patch exista, mas o Google não parece ter uma maneira prática de distribuí-lo ao mundo.”

Prova de Conceito

A seguir está a prova de conceito: