WebView
es un componente esencial en Android e iOS y permite a las aplicaciones
mostrar el contenido de los recursos en línea y simplifica la tarea de
realizar una solicitud de red, parsear los datos y mostrarlos.
Un experto de seguridad de AVG ha encontrado una vulnerabilidad crítica en la función WebView de Android,
que permitiría a un atacante instalar software malicioso, enviar
mensajes de texto y realizar cualquier otra tarea sobre el dispositivo.
WebView utiliza una serie de APIs que pueden interactuar con los contenidos de la web dentro de WebView, lo cual permite al usuario ver una aplicación web como parte de una aplicación Android ordinaria. Los usuarios pueden ser infectados al hacer clic en un enlace en una aplicación vulnerable y utilizando un navegador que tenga Java habilitado. Para explotar la vulnerabilidad, el atacante puede engañar a los usuarios para que haga clic en un vínculo malicioso en una aplicación WebView vulnerable y ejecutar el JavaScript malicioso en la misma página web.En el blog de AVG han publicado una PoC del ataque.
Todas las aplicaciones que se ejecutan en Android 4.1 o anterior son vulnerables y se recomienda a los usuarios actualizar a Android 4.2 o superior y descargar aplicaciones sólo desde Google Play.
Fuente: HackerNews
0 comentarios:
Publicar un comentario