La brecha permite evadir el mecanismo de seguridad en navegadores y tomar control de forma remota, impacta a los clientes de versiones anteriores a KitKat 4.4 del sistema operativo de Google que utilicen Android Open Source Platform como browser predeterminado.
El bug CVE-2014-6041, evita la política del mismo origen o Same Origin Policy (SOP), un conjunto de herramientas que previenen la interferencia entre sitios no relacionados.
Es decir, esta vulnerabilidad en android se trata de una regla de seguridad para scripts en la parte cliente, e impide que un documento o script cargado en un “origen” pueda modificar propiedades del archivo desde un “origen” diferente, según expertos de Eset.
Bajo esta norma, el navegador no permite el contenido cargado desde sitios arbitrarios, y las páginas web que se ejecutan en un sandbox no pueden conectar a recursos de otros orígenes. Sin la protección, una página maliciosa podría comprometer la confidencialidad y la integridad de otra.
A raíz del problema descubierto, el navegador Android Open Source Platform (AOSP) falla al intentar cumplir el control de seguridad de Same Origin Policy (SOP). La evasión autoriza que un sitio robe información de otro, pues accede a propiedades como cookies o ubicación.
La falla fue informada a Google, que aseguró contar con parches para versiones anteriores a Android 4.4.