O vulnerabilitate din browser-ul stoc din Android permite atacatorilor sa faca URL spoofing (sa falsifice adresele URL afisate in bara de adrese), pentru a putea lansa atacuri de tip phishing mult mai credibile.
Google a lansat patch-uri pentru aceasta vulnerabilitate in luna aprilie, dar cel mai probabil ca multe dispozitive sunt inca afectate, deoarece producatorii si operatorii de telefonie mobila se misca incet atunci cand vine vorba de distribuirea patch-urilor pentru Android.
Vulnerabilitatea a fost descoperita de un cercetatorul Rafay Baloch si a fost raportata catre Google cu ajutorul firmei de securitate Rapid7.
Baloch a descoperit vulnerabilitatea pe Android 5.0 Lollipop, care utilizeaza Chrome ca browser default, dar apoi a confirmat ca vulnerabilitatea exista si in versiunile mai vechi de Android, care folosesc browserul stoc by default.
Patch-ul pentru Chrome a fost deja distribuit utilizatorilor Android Lollipop prin Google Play, dar cel pentru Android 4.4 (KitKat) va necesita o actualizare a sistemului de operare, care va depinde de viteza de reactie a producatorilor de dispozitive si operatorii mobili, a declarat Tod Beardsley, director de cercetare in cadrul companiei Rapid7.
Potrivit statisticilor oficiale Google, pe aproape 40% din dispozitivele Android care acceseaza Google Play ruleaza Android 4.4 si doar pe 10% ruleaza Android 5.x.
Utilizatorii de Android 4.4 care nu au primit inca o actualizare oficiala a sistemului de operare ar trebui sa evite folosirea browser-ului stoc atunci cand acceseaza site-uri care necesita autentificare. Ca alternative, pot folosi browser-ul Chrome sau alte browsere, care sunt actualizate prin intermediul Google Play.
Utilizatorii care folosesc versiuni mai vechi de Android 4.4 ar trebui sa nu mai utilizeze deloc browser-ul stoc Android (cunoscut de asemenea sub numele de AOSP) , mai ales ca Google nu va mai furniza patch-uri de securitate pentru acesta.