Sprawa dotyczy wyłącznie domyślnej przeglądarki internetowej, jaką możemy znaleźć w wielu urządzeniach z Androidem 4.2 lub starszym. Odkrywcą luki jest Rafay Baloch, który twierdzi, że katastrofa prywatności potrafi obchodzić mechanizm SOP (Same-origin-policy) we wspomnianej aplikacji. Dzięki temu złośliwe strony internetowe mogą przechwycić informacje wpisywane na innych stronach – np. na poczcie e-mail czy w banku. Jakby tego było mało, cyberprzestępcy mogą wykorzystać tę lukę do przejęcia ciasteczek i podszycia się pod aktywną sesję, w celu włamania np. na konto bankowe.
Ominięcie mechanizmu SOP zostało potwierdzone na takich urządzeniach, jak Samsung Galaxy S3, HTC Wildfire czy smartfony z serii Sony Xperia. W praktyce zagrożone są wszystkie modele korzystające z domyślnej przeglądarki Androida.
Co zrobić, aby uchronić się przed wyciekiem informacji? Do czasu załatania luki (o której Google wie już od sierpnia), zaleca się zainstalowanie alternatywnej przeglądarki internetowej na swoim urządzeniu – np. Operę czy Chrome.
Źródło: Rapid7, Dziennik Internautów