El bug de seguridad se deriva de cómo el navegador de Android maneja javascript y las URLs precedidas por un carácter de byte nulo. Al encontrarse con una dirección así, el navegador no hace cumplir la política de seguridad y los sitios web maliciosos pueden adquirir información sensible de las demás pestañas que tenemos abiertas en ese momento en el navegador, además permite hacer copias de las cookies de sesión.
Desde Metaesploit siguen investigando esta vulnerabilidad, ya que quieren saber con total precisión en que versión exacta de Android se corrigió el problema y resolver el porcentaje de extensión del fallo. Sobre todo teniendo en cuenta que las versiones Android anteriores a la 4.4 representan el 75% de cuota de mercado del sistema operativo de Google.
Tod Beardsley, autor del estudio en Metaesploit, nos emplaza a la semana que viene para enseñarnos un vídeo con una demostración del bug en pleno funcionamiento. Además hace hincapié en seguir estudiando la seguridad en smartphones de gama media o baja para proteger la seguridad de esas personas que no tienen el poder adquisitivo para adquirir un teléfono mejor, pero cuyos datos son igual de sensibles e importantes.
A todos los usuarios cuya versión de Android sea inferior a KitKat se les recomienda empezar a utilizar otros navegadores que no están afectados por este fallo de seguridad como son Google Chrome, Opera, Mozilla Firefox o Dolphin Browser. Hasta el momento no hay declaración alguna por parte de Google sobre este peligroso bug que afecta a la mayor parte del ecosistema Android.