O navegador padrão do Android, o de código aberto que não é o Chrome, teve uma vulnerabilidade séria que deixa cerca de 50% dos usuários do sistema vulneráveis a roubo de dados. Conforme descoberto por especialistas de segurança, o bug permite que a navegação do usuário seja controlada de forma a roubar cookies e ter acesso a senhas e informações escritas em formulários na web.

A falha se dá na forma como o navegador lida com javascript, que evita que o browser consiga garantir a política de origem comum. O protocolo evita que um script executado em um site interaja com conteúdo de outros sites.

O que isso significa? Com a falha, basicamente qualquer site controlado por um cibercriminoso poderia interceptar as informações que estão sendo utilizadas em outra página, desde que as duas estejam abertas no mesmo navegador.

“Imagine que você entrou no site do golpista enquanto você está com seu e-mail aberto em outra janela. O cibercriminoso poderia roubar seus dados de e-mail e ver o que seu browser vê. Pior; ele poderia copiar os cookies de sessão e até mesmo sequestrá-la completamente para ler e responder às mensagens no seu lugar”, diz Tod Beardsley, chefe técnico da Metasploit Framework, que divulgou a falha em um post no blog na última segunda-feira.

O navegador de código aberto foi o padrão do Android até a chegada da versão 4.2, quando o Chrome tomou este lugar. Algumas partes do browser continuaram sendo usadas para controlar a web dentro de outros aplicativos, mas isso também mudou com a versão 4.4.

Porém, graças à fragmentação do Android, o navegador continua sendo amplamente utilizado pelos usuários que estão em versões antigas do sistema. Apenas 25% dos usuários já estão na edição KitKat do software, onde não há mais nenhuma interação com o aplicativo. De acordo com estatísticas do Net MarketShare, entre 40 e 50% dos usuários do Android ainda usam o browser defeituoso.

O Google diz ter identificado o problema e deve liberar a correção em breve. No entanto, o update pode ser problemático já que, diferente do Chrome, o navegador do Android não pode ser atualizado pelo Google Play; seria necessário uma atualização do sistema como um todo. E, como já é sabido, a distribuição de updates do Android costuma ser bastante demorada, o que deixará muitos desprotegidos por um bom tempo.