Una fallo de seguridad permite a una página web maliciosa mostrar como certificado propio el de otra página web.

Recursos afectados

  • Teléfonos inteligentes con Android 2.3.3 y versiones anteriores.

Solución

Hasta que el fabricante corrija este problema, se recomienda verificar que la dirección en la barra de navegación corresponde realmente a la página web que se desea visitar (en ocasiones, los estafadores intentan suplantar las páginas utilizando direcciones similares y creando páginas web prácticamente idénticas).

Además, se recomienda no acceder a las páginas web desde enlaces en correos electrónicos, redes sociales, etc. ya que podría tratarse de ataques de phising que envían direcciones de páginas web maliciosas. Es recomendable teclear directamente la dirección en la barra del navegador o acceder a través de los resultados de un buscador.

Detalles

Existen páginas falsas que imitan el contenido de páginas web oficiales como pueden ser de entidades bancarias, comercios o administraciones públicas, con el objetivo de robar la información que se intercambia con dicha entidad. Este tipo de de fraude se llama phising.

Una medida de protección ante estas páginas es comprobar que se accede por https y que el certificado que utiliza es legítimo (pulsando en el icono "Información de la página" y en el botón "Ver certificado"). Pero se ha descubierto un problema de seguridad en los sistemas Android que permite a una página falsa mostrar como propio el certificado de la página web legítima.

Por tanto, este problema facilita los ataques de phising para el robo de información confidencial (como por ejemplo datos bancarios) o la instalación de programas maliciosos.