Martedi 09 Agosto 2011
   

Ricercatori IBM hanno scoperto una vulnerabilità nel browser Android. Secondo quanto scoperto dai ricercatori, e pubblicato in questo documento pdf, è possibile per le applicazioni di terze parti iniettare codice JavaScript nelle istanze del browser di Android. La vulnerabilità riguarderebbe Android 2.3.4 e Android 3.1 ma si crede che esista anche nelle versioni precedenti.

Il codice JavaScript che sarebbe possibile iniettare potrebbe rendere possibile estrarre dal browser informazioni sensibili come i cookie, la cache e la cronologia. L'attacco sfrutterebbe delle falle nel modo in cui il browser reagisce alle chiamate effettuate da altre applicazioni per visualizzare le pagine web.

Il bug, che si trova nel metodo onNewIntent() del browser, è stato corretto nelle versioni 2.3.5 e 3.2 di Android, e saranno disponibili delle patch per Android 2.2.x.

Articoli correlati