Firefox tiene problemas en Android, ya que de acuerdo a una investigación de IBM, la aplicación deja un hueco de seguridad mediante el cual atacantes pueden acceder a información sensible alojada en el dispositivo.
De acuerdo al descubrimiento, Firefox guarda los datos de la aplicación dentro de la carpeta /data/data/org.mozilla.firefox/files/mozilla/, donde la cadena aleatoria es una secuencia de letras y números que se genera en cada dispositivo para que no se tenga un nombre por defecto y se acceda a ella de manera sencilla. Sin embargo, debido a la vulnerabilidad CVE-2014-1516, la cadena puede ser "adivinada" por medio de un ataque de fuerza bruta, pudiendo acceder a ella sin importar cuánto pueda cambiar.
La vulnerabilidad puede ser explotada gracias a un archivo HTML creado con este fin, es decir, una página web común y corriente. Una vez abierta, la página ejecuta un código de JavaScript que se encarga de realizar el ataque y descarga los archivos de las cookies, el historial y el caché de Firefox a la carpeta de Descargas, a la cual otras aplicaciones pueden acceder sin ningún problema.
Las brechas de seguridad que se han encontrado son:
- Debilidad en el nombre del perfil de usuario aleatorio
- Nombre del directorio de perfil permite la fuga de información de las bitácoras de Android
- Descarga automática de archivos a la tarjeta SD
- Manipulación del archivo de reportes de fallas
Según el reporte, tres de estas cuatro fallas han sido resueltas en la versión 28 de Firefox, por lo cual es muy recomendable que actualices el navegador si no lo has hecho durante estos días.
Vía | UNAM Más información | The Hacker News
