Especialistas de segurança descobriram uma falha séria no navegador padrão do Android, o de código aberto que não é o Chrome, que deixa cerca de 50% dos usuários do sistema vulneráveis a roubo de dados. O bug permite que a navegação do usuário seja controlada de forma a roubar cookies e ter acesso a senhas e informações escritas em formulários na web.
O problema está na forma como o navegador lida com JavaScript, que evita que o browser consiga garantir a política de origem comum. O protocolo evita que um script executado em um site interaja com conteúdo de outros sites. Na prática, isso significa que, com a falha, basicamente qualquer site controlado por um cibercriminoso poderia interceptar as informações que estão sendo utilizadas em outra página, desde que as duas estejam abertas no mesmo navegador.
“Imagine que você entrou no site do golpista enquanto está com seu e-mail aberto em outra janela. O cibercriminoso poderia roubar seus dados de e-mail e ver o que seu browser vê. Pior: ele poderia copiar os cookies de sessão e até mesmo sequestrá-la completamente para ler e responder às mensagens no seu lugar”, disse Tod Beardsley, chefe técnico da Metasploit Framework, que divulgou a falha na última segunda-feira.
O navegador de código aberto foi o padrão do Android até a chegada da versão 4.2, quando o Chrome tomou seu lugar. Algumas partes do browser continuaram sendo usadas para controlar a web dentro de outros aplicativos, mas isso também mudou com a versão 4.4.
Entretanto, graças à fragmentação do Android, o navegador continua sendo amplamente utilizado pelos usuários que estão em versões antigas do sistema. Apenas 25% deles usuários já estão na edição KitKat do software, na qual não há mais nenhuma interação com o aplicativo. De acordo com estatísticas do Net MarketShare, entre 40 e 50% dos usuários do Android ainda utilizam o navegador defeituoso.
O Google diz ter identificado o problema e deve liberar a correção em breve. No entanto, o update pode ser problemático já que, diferente do Chrome, o navegador do Android não pode ser atualizado pelo Google Play – seria necessária uma atualização do sistema como um todo. E, como já é sabido, a distribuição de updates do Android costuma ser bastante demorada, o que deixará muitos desprotegidos por um bom tempo.
Com informações de Olhar Digital