Research in Motion (RIM) está instando a los clientes que usan el popular teléfono BlackBerry a desactivar el Javascript en su navegador web móvil.

La preocupación de RIM se deriva de la explotación de una vulnerabilidad en el navegador de código abierto Webkit, que recientemente debutó en el Mobile World Congress de Barcelona, ​​y que fue explotada en un concurso de hacking en la competencia Pwn2Own de la conferencia CanSecWest en Vancouver, BC. El equipo de tres personas (dos de las cuales ganaron la competencia del año pasado al romper el iPhone) utilizaron un exploit de navegador conjuntamente con otra vulnerabilidad para robar la lista de contactos y base de datos de imágenes del teléfono, así como ejecutar código de forma remota.

El exploit puede también permitir el acceso a datos almacenados en la tarjeta de memoria del usuario, sin embargo, no se puede permitir el acceso a los datos de correo electrónico o calendario.

La falla no está en Javascript, pero requiere de Java para aprovechar la vulnerabilidad. La falla afecta a BlackBerry Device Software versión 6.0 y posteriores. En el momento de la publicación del aviso, RIM no tenía conocimiento de ningún ataque activo de la vulnerabilidad fuera de un entorno de prueba.

Como opción secundaria a desactivar Javascript, RIM sugiere desactivar el navegador de BlackBerry.

El teléfono, un BlackBerry Torch 9800, cayó en el mismo día que el iPhone 4 de Apple. Ambos teléfonos fueron hackeados en el marco de Pwn2Own, un concurso de hacking auspiciado por TippingPoint DVLabs, la subsidiaria de HP con sede en Austin. Estos dos teléfonos y muchos otros navegadores y sistemas operativos completos cayeron en Pwn2Own. Nadie trató de violar Mozilla Firefox, un Samsung Nexus S con Android 2.3, un Dell Venue Pro con Windows Phone 7 o Google Chrome.

Un investigador de seguridad ha publicado código de prueba de concepto que aprovecha una vulnerabilidad en la mayoría de las versiones del sistema operativo para smartphones Android de Google.

MJ Keith de Alert Logic, dijo haber publicado el código de ataque para exponer lo que caracterizó como prácticas inadecuadas de parchado en la plataforma móvil de código abierto. En lugar de encontrar el error subyacente por sí mismo, él buscó a través de una lista de fallos de seguridad documentadas para Safari de Apple, que se basa en el mismo motor de navegador Webkit utilizado en Android. En poco tiempo, obtuvo un ataque que explota cerca de dos tercios de los teléfonos que se basan en el sistema operativo.

“Ellos necesitan un mejor sistema de parches”, dijo Keith a The Register. “Ellos hacen un buen trabajo de reparación de futuras versiones, pero creo que un mejor sistema de parchado debe ser creado para Android.”

El error que explota el código de Keith se corrigió en Android 2.2, pero de acuerdo a cifras proporcionadas por Google, sólo el 36 por ciento de los usuarios tienen la versión más reciente. Eso significa que el resto son susceptibles al ataque.

Lo que es más, Keith dijo que no tenía problemas para encontrar otras vulnerabilidades documentadas de Webkit que aún no se han corregido en la versión 2.2.

“Encontré unos cuatro o cinco y yo no estaba tratando de [hacer] una búsqueda exhaustiva”, dijo.

Un portavoz de Google declinó hacer comentarios sobre este tema.

Para ser justos, el diseño de Android hace un buen trabajo de separar las funciones de una aplicación de las de otra. Eso haría difícil para alguien que explote la falla que Keith ha demostrado obtener privilegios de root o acceder a muchos de los recursos del teléfono atacado. Pero todavía permitiría a un atacante acceder a cualquier cosa que el navegador pueda leer, incluyendo una tarjeta de memoria Secure Digital del teléfono.

Lo más crítico, Keith dijo, es que la mayoría de los usuarios no tienen idea de que sus dispositivos son vulnerables a errores que se han corregido hace tiempo en otras plataformas.

“Yo quería demostrar que nadie está siendo notificado de que su teléfono Android es vulnerable a estas cosas”, explicó. Google “quiere pretender que el problema no está ahí”.

La reciente actualización del Apple iPhone OS 3.0 incluye parches para múltiples vulnerabilidades, algunas de ellas con graves consecuencias para la seguridad del dispositivo.

La actualización, que sólo está disponible para su descarga a través de iTunes, abarca un total de 46 vulnerabilidades documentadas, incluyendo varias que permiten ejecución de código malicioso simplemente si un usuario visita un sitio Web o visualiza una imagen manipulada utilizando el navegador.

Según un aviso de Apple, las vulnerabilidades más graves que fueron corregidas se encontraban en CoreGraphics, ImageIO, Mail, Safari y WebKit.

La actualización también corrige problemas de seguridad en IPSec, libxml, el MPEG-4 Video Codec, Perfiles y Telefonía.