Os navegadores móveis, otimizados para exibir conteúdo web em telas menores, são essenciais para navegar, visualizar ou gerar conteúdo na internet por dispositivos móveis. A ESET analisou as vulnerabilidades mais exploradas nesses navegadores no segundo semestre de 2024. Entre os mais utilizados, foram identificadas falhas que podem ser exploradas por cibercriminosos para roubo de dados e execução de ataques.
“Os usuários buscam navegadores que ofereçam uma experiência fluida para consumir e interagir com diferentes tipos de conteúdo. No entanto, embora cada navegador tenha características próprias na forma de exibir e armazenar informações, eles também podem se tornar portas de entrada para malwares, expondo os dispositivos a cibercriminosos. Isso pode ocorrer por diversos motivos, dentre eles, se as atualizações de segurança não forem instaladas no navegador ou se arquivos infectados explorarem vulnerabilidades existentes”, alerta Daniel Barbosa, pesquisador de segurança da ESET no Brasil.
Segundo levantamento da GS.statcounter, o Chrome foi o navegador dominante em smartphones com participação de mercado de 65,75%. O Safari ficou em segundo lugar com 21,47%, principalmente devido à sua integração com o iPhone. O Samsung Internet ficou em terceiro lugar com 3,54% de participação, enquanto o Opera teve 1,63% de uso pelo mercado.
O Samsung Internet apresenta registros de vulnerabilidades até 2022, sem relatos recentes de novas falhas no navegador. Situação semelhante ocorre com o Opera Web, cujo último registro de vulnerabilidades é de mais de seis anos atrás. No entanto, a ESET alerta que a ausência de novos registros não garante que esses navegadores sejam completamente seguros, uma vez que a segurança também depende do comportamento dos usuários finais.
No caso do Google Chrome, as vulnerabilidades envolvem desde falhas no preenchimento automático até problemas em recursos como o WebAuthentication e o Media Router, que permitem ataques locais e remotos, dependendo da versão do navegador. Já no Safari, os problemas estão relacionados à manipulação de memória, execução arbitrária de código e exposição de informações privadas, afetando dispositivos que utilizam sistemas desatualizados, como iOS e macOS. O Firefox, por sua vez, apresentou falhas em mecanismos de segurança de memória e na interface de usuário, facilitando ataques como clickjacking e execução de código malicioso.
Segundo Barbosa, essas vulnerabilidades destacam a importância de conscientizar os usuários. “Não adotar boas práticas, como manter aplicativos atualizados, facilita o roubo de informações. Até mesmo falhas de baixo impacto podem comprometer a segurança dos dispositivos, tornando essencial estar informado e tomar medidas preventivas”, explica o pesquisador.
Top 5 vulnerabilidades mais exploradas durante a segunda metade de 2024 nos navegadores móveis mais utilizados:
Navegador Google Chrome
CVE-2024-9956: Publicada em outubro, é uma implementação inadequada no WebAuthentication do Google Chrome no Android. Permite que um atacante local escale privilégios por meio de uma página HTML manipulada, possibilitando a instalação de malwares como infostealers ou trojans. Dispositivos afetados: Android com versões desatualizadas.
CVE-2024-8907: Publicada em setembro, consiste em validação insuficiente de dados na Omnibox (barra de endereços do navegador). Permite que um atacante remoto convença o usuário a realizar gestos específicos de interface para injetar scripts ou HTML arbitrários (XSS). Dispositivos afetados: Android com versões desatualizadas.
CVE-2024-8639: Publicada em 11 de setembro, explora falhas no recurso de preenchimento automático do navegador. Permite que um atacante remoto manipule uma página HTML para explorar a vulnerabilidade. Dispositivos afetados: Android com versões desatualizadas.
CVE-2024-8637: Publicada em setembro, explora o Chrome Media Router, que permite enviar conteúdo do Chrome para dispositivos com Chromecast habilitado. Permite ataques remotos com páginas HTML manipuladas. Dispositivos afetados: Android com versões anteriores à 128.0.6613.137.
CVE-2024-8034: Publicada em agosto, explora falhas na implementação de abas personalizadas do navegador. Permite ataques remotos por meio da geração de milhares de abas HTML. Dispositivos afetados: Android com versões desatualizadas.
Navegador Safari
CVE-2024-54534: Publicada em dezembro, permite que aplicativos maliciosos acessem informações privadas e escalem privilégios. Dispositivos afetados: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 e iPadOS 18.2 desatualizados.
CVE-2024-54508: Publicada em dezembro, falhas na memória podem permitir acesso a dados sensíveis e alteração de tráfego de rede. Além disso, o recurso de lista de leitura pode expor o endereço IP. Dispositivos afetados: mesma lista de CVE-2024-54534.
CVE-2024-54505: Publicada em dezembro, permite acesso a informações privadas, escalonamento de privilégios e manipulação de memória. Dispositivos afetados: mesma lista de CVE-2024-54534.
CVE-2024-44309: Publicada em novembro, permite execução arbitrária de código via processamento de conteúdo web. Dispositivos afetados: Safari 18.1.1, iOS 17.7.2, iPadOS 17.7.2 e outros.
CVE-2024-44259: Publicada em outubro, permite abuso de confiança para baixar conteúdo malicioso, além de expor histórico de navegação na navegação privada. Dispositivos afetados: iOS 17.7.1 e outros desatualizados.
Navegador Firefox
CVE-2024-9680: Atualizada em 18 de novembro, permite execução de código via exploração de animação de linha do tempo. Dispositivos afetados: Android e PC com versões anteriores ao Firefox 131.0.2.
CVE-2024-9936: Publicada em outubro, manipulação de nós na memória cache pode causar anomalias e exploração de recursos do navegador. Dispositivos afetados: Android e PC.
CVE-2024-9397: Publicada em outubro, permite ataques de clickjacking por falhas na interface de usuário. Dispositivos afetados: Android e PC.
CVE-2024-9403: Publicada em outubro, falhas na segurança da memória podem permitir execução arbitrária de código. Dispositivos afetados: Android e PC.
CVE-2024-9400: Publicada em outubro, corrupção de memória durante o processo Out Of Memory Killer (OOM) pode ser explorada. Dispositivos afetados: Android e PC.
