Los navegadores en nuestros dispositivos móviles son básicos, ya que facilitan el acceso, la visualización y la creación de contenido en la web de forma eficaz. No obstante, si no se actualizan regularmente o se descargan archivos dañinos, estas aplicaciones pueden transformarse en puntos vulnerables ante amenazas cibernéticas.
De acuerdo con la información de GS.statcounter, hasta diciembre de 2024, la cuota de mercado de los navegadores en dispositivos móviles se reparte de la siguiente forma:
- Chrome: 65.75%
- Safari: 21.47%
- Samsung Internet: 3.54%
- Opera: 1.63%
- UC Browser: 1.33%
- Firefox: 0.50%
- Edge: 0.41%
- QQ Browser: 0.37%
- Android: 0.37%
- Otros: 0.06%
A continuación, se enumeran las principales vulnerabilidades identificadas en los navegadores móviles más populares durante el segundo semestre de 2024:
Google Chrome
CVE-2024-9956
Divulgada el 10 de octubre de 2024, esta vulnerabilidad surge por una implementación incorrecta en WebAuthentication de Google Chrome para Android. Las ediciones anteriores a la 130.0.6723.58 facilitan que un atacante local eleve privilegios utilizando una página HTML especialmente elaborada, lo cual podría llevar a la instalación de malware tipo infostealer o troyano.
- Dispositivos comprometidos: Aparatos Android con versiones de Chrome desactualizadas.
CVE-2024-8907
- Dispositivos afectados: Dispositivos Android con versiones no actualizadas de Chrome.
CVE-2024-8907
Reportada el 19 de septiembre de 2024, esta vulnerabilidad implica una validación insuficiente de datos en Omnibox (la barra de direcciones del navegador) en Google Chrome para Android. Las versiones anteriores a la 129.0.6668.58 permiten a un atacante remoto persuadir al usuario para realizar acciones específicas en la interfaz de usuario, facilitando la inyección de scripts o HTML arbitrarios (XSS) a través de gestos de interfaz.
Revelada el 11 de septiembre de 2024, esta vulnerabilidad explota la función de autocompletado en Google Chrome para Android. Las versiones anteriores a la 128.0.6613.137 dejan que un atacante remoto aproveche este defecto mediante la falsificación de una página HTML.
- Dispositivos comprometidos: Aparatos Android con versiones de Chrome desactualizadas.
CVE-2024-8637
Asimismo, anunciada el 11 de septiembre de 2024, esta vulnerabilidad está vinculada con la función del navegador que posibilita transmitir contenido de Chrome a un dispositivo con Chromecast activo (Chrome Media Router). Las versiones previas a la 128.0.6613.137 posibilitan que un atacante remoto explote esta debilidad mediante la falsificación de una página HTML.
- Dispositivos afectados: Equipos Android que no hayan actualizado Chrome.
CVE-2024-8034
Detectada el 8 de agosto de 2024, esta vulnerabilidad surge por una implementación incorrecta de las pestañas personalizadas en Google Chrome para Android. Las versiones anteriores a la 128.0.6613.84 permiten que un atacante remoto explote esta falla generando múltiples pestañas de una página HTML.
- Dispositivos comprometidos: Aparatos Android con versiones de Chrome desactualizadas.
Safari
CVE-2024-54534
- Dispositivos afectados: Dispositivos Android con versiones no actualizadas de Chrome.
Safari
CVE-2024-54534
- Dispositivos afectados: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2 en las versiones mencionadas.
CVE-2024-54508
- Dispositivos afectados: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2 en las versiones mencionadas.
CVE-2024-54508
- Dispositivos comprometidos: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2 en las versiones indicadas.
CVE-2024-54505
- Dispositivos afectados: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2 en las versiones mencionadas.
CVE-2024-54505
Divulgada el 11 de diciembre de 2024, esta vulnerabilidad permite que una aplicación maliciosa acceda a información sensible a través de fallas de memoria, facilitando la escalada de privilegios. Debido a una validación insuficiente de la lista de lectura de Safari, se puede revelar la dirección IP original del sitio web. Si el atacante tiene acceso físico al dispositivo iOS, podría ver el contenido de notificaciones desde la pantalla de bloqueo.