Se recomienda que los usuarios instalen Chrome u otro navegador.
PCWorld | Lucian Constantin
Una vulnerabilidad en el navegador web nativo de Android permite a atacantes falsificar el URL que aparece en la barra de direcciones, permitiendo que los ataques de phishing sean más creíbles.
Google lanzó corrigió la falla en abril, pero muchos de los teléfonos siguen afectados, ya que los fabricantes y las compañías normalmente son lentas para desarrollar y distribuir los parches correctivo para Android.
La vulnerabilidad fue descubierta por un investigador llamado Rafay Baloch, y le informó de forma privada a Google con la ayuda de la empresa de seguridad Rapid7.
Baloch descubrió el defecto en Lollipop de Android 5.0, que utiliza Chrome como su navegador por defecto, pero luego también confirmó en el navegador de valores en las versiones anteriores de Android.
El problema se debe a un manejo inadecuado del error de navegación 204 “Sin contenido”, cuando regresa por los servidores. El investigador creó una prueba de concepto que redirige el navegador a un recurso inexistente en www.google.com, pero a continuación, carga una página falsa cuenta de Google.
El parche navegador para Chrome fue distribuida a los usuarios de Android a través de Google Play Lollipop, pero la solución para Android 4.4 (KitKat) requerirá una actualización del sistema operativo cuya disponibilidad dependerá de los fabricantes y los portadores de dispositivos, dijo Tod Beardsley, gerente de investigación de seguridad en Rapid7, a través de de correo electrónico.
Según las estadísticas oficiales de Google, casi el 40 por ciento de los dispositivos Android que accesan a Google Play están ejecutando Android 4.4 y sólo el 10 por ciento 5.x Android carrera
Los usuarios de Android 4.4 que no han recibido una actualización del sistema operativo recientemente deben evitar usar el navegador social para acceder a sitios que requieren autenticación, dijeron Rapid7 en un aviso. Chrome u otros navegadores que se actualizan a través de Google Play pueden ser buenas alternativas.
Los usuarios que ejecutan versiones de Android anteriores a 4.4 deben dejar de usar el navegador de stock Android, también conocido como el navegador AOSP, de todos modos Google ya no lanzará parches de seguridad para ello.