Firefox_android-galaxynote

Firefox para Android puede descargar e instalar un APK sin preguntarte

Aplicaciones Android — Un fallo de seguridad en la aplicación de Firefox para Android ha sido descubierto recientemente y revela que un sitio web al que se acceda desde el navegador móvil de Mozilla podría ser capaz forzar la ejecución de código malicioso o descargar de un APK) para ejecutarlo e instalarlo sin el consentimiento del propietario.

Según demuestra el vídeo a continuación, sólo se requiere estar dentro de Firefox para Android, ingresar al sitio donde nos espera el código malicioso y automáticamente este forzará la ejecución del archivo. Aunque el vídeo demuestra (adelanta al minutos 4:27) que el método funciona con un APK, aseguran que podría funcionar con cualquier archivo porque Android intentará ejecutar automáticamente y lo abrirá, según las asociaciones y compatibilidad de las extensiones.


Aún no hay una declaración de Mozilla sobre la vulnerabilidad demostrada en Firefox para Android, pero considerando el potencial dañino que este fallo de seguridad podría causar a un terminal, posiblemente ya estén al tanto y se lance alguna actualización corrigiendo el error pronto.

¿Hay solución sin actualización de Firefox?

Por lo general la mayoría de los usuarios de Android instalan aplicaciones sin firmar, por diferentes razones y al “encender” la opción olvidan desactivarla. Para ser victima sólo es necesario acceder desde Firefox y tener activada la opción para permitir la instalación de “fuentes desconocidas”, por lo pronto lo más recomendable es mantenerse alejado de sitios sospechosos, mantener las antenas alertas o, simplemente, cambiar de navegador mientras se tienen noticias sobre futuras correcciones.

App mencionada

[appbox googleplay org.mozilla.firefox video]

Vía AndroidPolice | [Security] Firefox For Android Can Be Tricked Into Automatically Downloading And Executing Malicious Code