Parece ser que Google Glass heredó un mal que se encuentra presente en la API de Android 4.1. El bug es explotado mediante una función de JavaScript que permitiría ejecutar código Java en la aplicación anfitriona y usar los permisos que esta misma tenga.
La función de la que se habla es addJavascriptInterface(), la cual fue diseñada para acceder a código de Java a través de JavaScript, pero con acceso límitado, sin embargo, en una API de nivel 16 o menor, está rota. Para explotar dicho bug, la aplicación necesita crear un WebView y correr código para acceder la función de JavaScript.
Recientemente un módulo de prueba en Metasploit, un framework open-source que permite realizar pruebas de vulnerabilidades de seguridad, fue actualizado para permitir acceso a la shell en algunas versiones del navegador de Android. En los comentarios de este nuevo módulo, Josh J. Drake escribió:
la ejecución del código también funciona en mi Google Glass XE12Aunque el problema puede afectar a los dueños actuales de Google Glas en gran manera, también los usuarios de Android se ven afectados, ya que la creación de un WebView es algo que es de uso común, ya sea para mostrar ads, visitar la página del creador de una app, etc. Y aunque este bug haya sido reparado en versiones recientes, muchos desarrolladores aún usan el SDK que contiene este exploit.
Vía | Android Authority Más en Xataka Android México | NameTag, una app para Google Glass que identifica a quien estás mirando
