Los investigadores de seguridad informática de la firma Positive Technologies (PT) han descubierto una vulnerabilidad crítica que afecta al motor Chromium de Google y que podría ser explotada por los hackers para robar datos personales de los usuarios.
La vulnerabilidad fue descubierta en diciembre pasado por Sergey Toshin, siendo notificada a Google en enero, que al parecer emitió una solución unas semanas después. En el informe de seguridad de PT, la firma explica que el error está presente en todas las versiones del sistema operativo Android a partir de la versión 4.4.
En concreto, el error fue detectado en el componente WebView, y podría permitir a un hacker utilizar código malicioso instalado en las apps instantáneas para acceder a los datos personales de los usuarios de Android. En enero pasado, Google clasificó la vulnerabilidad CVE-2019-5765 como de ‘gravedad alta’.
A través de un informe, PT explicó que la vulnerabilidad afecta a los usuarios de navegadores web para móviles basados en el motor Chromium, entre los que destacan Samsung Internet Browser, Yandex Browser y Google Chrome.
Los investigadores afirmaron que las apps instantáneas permiten a los usuarios probar una app sin necesidad de instalarla. Al explicar el método de ataque que podrían utilizar los hackers basándose en estas apps, el informe revela:
Después de que un usuario haya hecho clic en el enlace del navegador, el teléfono inteligente descarga un pequeño archivo que se ejecuta como una aplicación nativa, con acceso al hardware, pero que no ocupa espacio en el dispositivo. Si se realiza un ataque a través de una aplicación instantánea, los datos se pueden interceptar después de que un usuario toque un enlace a una aplicación maliciosa.
Los usuarios que utilizan Android 7.0 o posteriores en sus dispositivos debieron actualizar Google Chrome el pasado mes de enero. En el caso de los usuarios que ejecutan versiones anteriores de Android, deben actualizar de inmediato WebView a través de Google Play. El gigante tecnológico afirmó que los usuarios que no tengan Google Play en sus dispositivos deben esperar una actualización de seguridad proporcionada por el fabricante del móvil.