Tecnologia

Las principales debilidades de los navegadores móviles más populares

https://imagenes.eleconomista.com.mx/files/image_853_480/uploads/2012/11/07/66e4d5668d116.jpeg

Los navegadores en nuestros dispositivos móviles son básicos, ya que facilitan el acceso, la visualización y la creación de contenido en la web de forma eficaz. No obstante, si no se actualizan regularmente o se descargan archivos dañinos, estas aplicaciones pueden transformarse en puntos vulnerables ante amenazas cibernéticas.

Los navegadores web son herramientas esenciales en nuestros dispositivos móviles, ya que nos permiten acceder, visualizar y generar contenido en internet de manera eficiente. Sin embargo, estas aplicaciones también pueden convertirse en puntos de entrada para amenazas cibernéticas si no se mantienen actualizadas o si se descargan archivos maliciosos que explotan vulnerabilidades existentes.

  • Chrome: 65.75%
  • Safari: 21.47%
  • Samsung Internet: 3.54%
  • Opera: 1.63%
  • UC Browser: 1.33%
  • Firefox: 0.50%
  • Edge: 0.41%
  • QQ Browser: 0.37%
  • Android: 0.37%
  • Otros: 0.06%

A continuación, se enumeran las principales vulnerabilidades identificadas en los navegadores móviles más populares durante el segundo semestre de 2024:

Google Chrome

CVE-2024-9956

Divulgada el 10 de octubre de 2024, esta vulnerabilidad surge por una implementación incorrecta en WebAuthentication en Google Chrome para Android. Las versiones anteriores a la 130.0.6723.58 permiten que un atacante local eleve privilegios a través de una página HTML especialmente diseñada, lo que podría conducir a la instalación de malware como infostealers o troyanos.

Publicada el 10 de octubre de 2024, esta vulnerabilidad se debe a una implementación inadecuada en WebAuthentication en Google Chrome para Android. Las versiones anteriores a la 130.0.6723.58 permiten a un atacante local escalar privilegios mediante una página HTML especialmente diseñada, lo que podría resultar en la instalación de malware tipo infostealer o troyano.

Informada el 19 de septiembre de 2024, esta vulnerabilidad se debe a una validación deficiente de datos en Omnibox (la barra de direcciones del navegador) en Google Chrome para Android. Las versiones anteriores a la 129.0.6668.58 permiten que un atacante remoto induzca al usuario a ejecutar acciones específicas en la interfaz de usuario, facilitando la inyección de scripts o HTML arbitrarios (XSS) mediante gestos de interfaz.

  • Dispositivos afectados: Equipos Android que no hayan actualizado Chrome.

CVE-2024-8639

Revelada el 11 de septiembre de 2024, esta vulnerabilidad explota la función de autocompletado en Google Chrome para Android. Las versiones anteriores a la 128.0.6613.137 dejan que un atacante remoto aproveche este defecto mediante la falsificación de una página HTML.

  • Dispositivos afectados: Equipos Android que no hayan actualizado Chrome.

CVE-2024-8637

  • Dispositivos afectados: Dispositivos Android con versiones no actualizadas de Chrome.

CVE-2024-8637

  • Dispositivos afectados: Equipos Android que no hayan actualizado Chrome.

CVE-2024-8034

  • Dispositivos afectados: Dispositivos Android con versiones no actualizadas de Chrome.

CVE-2024-8034

Identificada el 8 de agosto de 2024, esta vulnerabilidad se debe a una implementación inadecuada de las pestañas personalizadas en Google Chrome para Android. Las versiones anteriores a la 128.0.6613.84 permiten a un atacante remoto explotar esta falla mediante la generación de múltiples pestañas de una página HTML.

Divulgada el 11 de diciembre de 2024, esta vulnerabilidad permite que una aplicación malintencionada acceda a información confidencial de la víctima mediante fallas de memoria, lo cual puede llevar a una escalada de privilegios en el dispositivo comprometido. Además, el atacante podría modificar el tráfico de la red y causar una denegación de servicio.

  • Dispositivos comprometidos: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2 en las versiones indicadas.

CVE-2024-54508

Igualmente informada el 11 de diciembre de 2024, esta vulnerabilidad posibilita que una aplicación malintencionada acceda a información sensible mediante fallas de memoria, favoreciendo la escalada de privilegios. Debido a una validación inadecuada de la lista de lectura de Safari, se puede exponer la dirección IP original del sitio web. Si el atacante cuenta con acceso físico al dispositivo iOS, podría ver el contenido de las notificaciones desde la pantalla de bloqueo.

  • Dispositivos comprometidos: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2 en las versiones indicadas.

CVE-2024-54505

  • Dispositivos afectados: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2 en las versiones mencionadas.

CVE-2024-54505

Divulgada el 11 de diciembre de 2024, esta vulnerabilidad permite que una aplicación maliciosa acceda a información sensible a través de fallas de memoria, facilitando la escalada de privilegios. Debido a una validación insuficiente de la lista de lectura de Safari, se puede revelar la dirección IP original del sitio web. Si el atacante tiene acceso físico al dispositivo iOS, podría ver el contenido de notificaciones desde la pantalla de bloqueo.