Los navegadores móviles son aplicaciones optimizadas para mostrar contenido web en pantallas más pequeñas a diferencia de un equipo de escritorio. Se trata, simple y llanamente, de la puerta al universo de la internet móvil y, por eso, son un blanco muy atractivo para los cibercriminales.
La firma de ciberseguridad ESET comparte cada año las vulnerabilidades más explotadas en los navegadores móviles más populares y 2024 no fue la excepción.
Según un reporte de GS.statcounter, el año pasado Chrome fue el navegador dominante en teléfonos inteligentes con una participación de mercado del 65,75%. Safari ocupó la segunda posición con un 21,47%, principalmente debido a su integración con iPhone. Firefox obtuvo el tercer puesto con una cuota del 3,54% mientras que Opera tuvo un uso por parte del mercado del 1,63%.
Samsung Internet cuenta con vulnerabilidades registradas hasta el 2022. Hoy en día no se tienen registros por parte de la marca que revelen nuevas amenazas en el navegador.
ESET detalló el top 5 de vulnerabilidades más explotadas durante la segunda mitad del 2024 en los navegadores móviles más utilizados:
Google Chrome
- CVE-2024-9956: Esta vulnerabilidad fue publicada el 10 de octubre, es una implementación inadecuada en WebAuthentication en Google Chrome en Android. Permite a un atacante local realizar una escalación de privilegios a través de una página HTML, con lo cual podría instalar malware del tipo infostealer o troyano. Los afectados son dispositivos Android que cuenten con versiones no actualizadas.
- CVE-2024-8907: Vulnerabilidad publicada en septiembre, consiste en una validación insuficiente de datos en Omnibox (barra de direcciones del navegador, que también se conoce como cuadro multifunción) en Google Chrome en Android. Versiones anteriores permiten a un atacante vía remota convencer a un usuario de participar en gestos específicos de IU (interfaz de usuario) para inyectar scripts arbitrarios o HTML (XSS) a través de gestos de interfaz. Los afectados son dispositivos Android que cuenten con versiones no actualizadas.
- CVE-2024-8639: Una vulnerabilidad publicada el 11 de septiembre, que se aprovecha del autocompletado en Google Chrome en Android. Permite a un atacante vía remota explotar potencialmente esta falla a partir de la suplantación de una página HTML. Los afectados son dispositivos Android que cuenten con versiones no actualizadas.
- CVE-2024-8637: Publicada en septiembre, aprovecha el servicio del navegador que permite enviar contenido de Chrome a un dispositivo con Chromecast habilitado (Chrome Media Router). Las versiones anteriores a la 128.0.6613.137 le permiten a un atacante vía remota explotar potencialmente esta falla a partir de la suplantación de una página HTML. Los afectados son dispositivos Android que cuenten con versiones no actualizadas.
- CVE-2024-8034: Esta vulnerabilidad de agosto consiste en una implementación inadecuada de las pestañas personalizadas en Google Chrome en Android. Permite a un atacante vía remota explotar potencialmente esta falla a partir de la generación de miles de pestañas de una página HTML. Los afectados son dispositivos Android que cuenten con versiones no actualizadas.
Safari
- CVE-2024-54534: Vulnerabilidad publicada el 11 de diciembre. Si no se tiene actualizado el navegador, una aplicación maliciosa puede ser capaz de acceder a información sensible y privada de la víctima a través de las fallas de memoria con lo cual puede escalar privilegios en el dispositivo afectado.
Además, el atacante puede alterar el tráfico de la red y generar una denegación de servicio. Los dispositivos afectados usan las versiones watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2. El problema se solucionó mejorando el manejo de la memoria.
- CVE-2024-54508: Publicada en diciembre. Una aplicación maliciosa capaz de acceder a información sensible y privada de la víctima a través de las fallas de memoria con lo cual puede escalar privilegios en el dispositivo afectado, además de que el atacante puede ser capaz de alterar el tráfico de la red y generar una denegación de servicio.
Debido a una validación insuficiente de la lista de lectura de Safari se puede revelar la dirección IP originaria del sitio web. Si se tiene acceso físico al dispositivo iOS el atacante puede ser capaz de ver el contenido de notificación desde la pantalla de bloqueo. Los dispositivos afectados usan las versiones watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2.
El problema se solucionó mejorando el manejo de la memoria.
- CVE-2024-54505: Una vulnerabilidad publicada en diciembre del 2024, capaz de acceder a información sensible y privada de la víctima a través de las fallas de memoria con lo cual puede escalar privilegios en el dispositivo afectado. Además, el atacante puede ser capaz de alterar el tráfico de la red y generar una denegación de servicio, incluyendo acceder a partes de la memoria para generar procesos maliciosos.
Debido a una validación insuficiente de la lista de lectura de Safari se puede revelar la dirección IP originaria del sitio web. Si se tiene acceso físico al dispositivo iOS el atacante puede ser capaz de ver el contenido de notificación desde la pantalla de bloqueo. Los dispositivos afectados usan las versiones watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2.
Se solucionó el problema de confusión de tipos mejorando el control de la memoria.
- CVE-2024-44309: Vulnerabilidad publicada en noviembre, que permite al atacante procesar contenido web para causar una ejecución arbitraria de código.
Esta falla pudo haber sido explotada activamente en los sistemas Mac basados en Intel. Los dispositivos afectados usan las versiones Safari 18.1.1, iOS 17.7.2 y iPadOS 17.7.2, macOS Sequoia 15.1.1, iOS 18.1.1 y iPadOS 18.1.1 y visionOS 2.1.1.
El problema de gestión de cookies se solucionó mejorando la gestión del estado.
- CVE-2024-44259: Esta vulnerabilidad fue publicada en octubre. Si no se tiene actualizado el navegador, un atacante puede ser capaz de abusar de una relación de confianza para descargar contenido malicioso. En la navegación privada se puede filtrar el historial de navegación, además las cookies pueden redirigirse a hacia donde el atacante decida. Los dispositivos afectados usan iOS 17.7.1 y iPadOS 17.7.1, visionOS 2.1, iOS 18.1 e iPadOS 18.1, macOS Sequoia 15.1, Safari 18.1. Este problema se arregló mediante una mejor gestión del estado.
Firefox
- CVE-2024-9680: Una vulnerabilidad que fue actualizada el 18 de noviembre y reportada por el investigador Damien Schaeffer de ESET. Un atacante puede lograr la ejecución de código en el proceso de contenido explotando la animación de líneas de tiempo. Versiones anteriores a 131.0.2, Firefox ESR 128.3.1, Firefox ESR 115.16.1, Thunderbird 131.0.1, Thunderbird 128.3.1 y Thunderbird 115.16.0 son las afectadas. Los dispositivos afectados son Android y PC.
- CVE-2024-9936: Publicada en octubre, manipula el nodo de la memoria caché. El atacante puede ser capaz de generar un comportamiento anómalo por el potencial de poder explotar otras características del navegador afectado. Versiones anteriores a 131.0.3 son vulnerables. Dispositivos afectados: Android y PC. Esta vulnerabilidad se encuentra actualmente a la espera de más análisis.
- CVE-2024-9397: Vulnerabilidad publicada en octubre, una demora en el directorio para la carga de archivos de la UI (Interfaz de Usuario) puede hacer posible que un atacante engañe al usuario para obtener permisos vía clickjacking (ataque a la interfaz de un sitio web que engaña a los usuarios para que hagan clic en enlaces maliciosos sin saberlo). Versiones anteriores a Firefox 131, Firefox ESR 128.3, Thunderbird 128.3 y Thunderbird 131 son vulnerables. Dispositivos afectados: Android y PC.
- CVE-2024-9403: Vulnerabilidad publicada en octubre. Errores de seguridad de la memoria presentes en Firefox 130 podrían haber sido explotados para ejecutar código arbitrario. Versiones anteriores a Firefox 131 y Thunderbird 131 son vulnerables. Los dispositivos afectados son Android y PC. Esta vulnerabilidad se encuentra actualmente a la espera de más análisis.
- CVE-2024-9400: Esta vulnerabilidad fue publicada en octubre. Podría desencadenarse si un atacante tuviera la capacidad de desencadenar una OOM (proceso llamado Out Of Memory Killer por sus siglas en inglés y es cuando el sistema tiene poca memoria. Este proceso revisa los procesos y termina los que están utilizando más memoria de la que deberían) en un momento específico durante la compilación de JIT.
Versiones anteriores a Firefox 131, Firefox ESR 128.3, Thunderbird 128.3 y Thunderbird 131 son vulnerables. Los dispositivos afectados son Androidy PC. Esta vulnerabilidad se encuentra actualmente a la espera de más análisis.
Las vulnerabilidades persistentes evidencian la necesidad de mayor concientización entre los usuarios. No adoptar buenas prácticas, como mantener actualizadas las aplicaciones móviles y de escritorio, puede facilitar el robo de información y su venta en mercados negros.
- Foto de portada: Pexels.
Ver 0 comentarios