Lỗ hổng SOP (Same Origin Policy) trên Android đã được phát hiện bởi Rafay Baloch, nhà nghiên cứu bảo mật ở Pakistan. Lỗ hổng này ảnh hưởng đến thành phần của trình duyệt mặc định Android đã được sử dụng trên khoảng 930.000 smartphone chạy Android 4.3 Jelly Bean và những phiên bản trước đó.
Lỗ hổng trên WebView xảy ra khi thay thế nội dung của HTML bằng một chương trình JavaScript URL. Tin tặc có thể tận dụng lỗ hổng này để phá dữ liệu cookie và nội dung của trang.
Lỗ hổng này có thể được khai thác trên tất cả các phiên bản của trình duyệt nền tảng mã nguồn mở của Android (Android Open Source Platform) - còn được biết đến là kho Android hay trình duyệt mặc định, và nó chỉ tồn tại trong hệ điều hành Android 4.3 Jellybean và trước đấy.
Rafay Baloch từ Rapid7 đã đặt mã công cụ Metasploit kiểm tra lỗ hổng này để Google và các nhà sản xuất smartphone khác có thể vá nó. Tuy nhiên, Hãng bảo mật Trend Micro từ Nhật Bản đã phát hiện ra mã công cụ này đang được khai thác để chiếm quyền điều khiển tài khoản người dùng Facebook trên smartphone chạy Android 4.3 Jellybean và cũ hơn.
Hãng Rapid7 đã thông báo với Google để vá lỗ hổng nghiêm trọng này nhưng họ nhận được câu trả lời khá sốc rằng Google đã dừng cung cấp các bản vá lỗi bảo mật cho Android 4.3 Jellybean và các phiên bản cũ hơn.
Tod Beardsley, nhà nghiên cứu tại Rapid7, hết sức bất ngờ về lời đáp của Google và không tin đó là chính sách chính thức từ Google. Tuy nhiên, ông đã xác nhận lại với nhóm bảo mật của Google và nhận lại câu trả lời tương tự, Google sẽ thông báo cho các đối tác vấn đề này và sẽ cung cấp các bản vá lỗi nếu chúng được gửi đến.
Có vẻ như Google đã ngừng cung cấp hỗ trợ chỉ với thành phần WebView của các phiên bản Android cũ vì khi được hỏi thêm thì đội bảo mật Android đã xác nhận rằng các thành phần KitKat trước đó như trình đa phương tiện sẽ tiếp tục nhận các bản vá lỗi được back-ported.
Vấn đề là cho đến nay chỉ có thành phần WebView của các phiên bản Android trước được phát hiện là dễ bị tấn công và theo Hãng bảo mật Trend Micro thì nó đang được khai thác ở bên ngoài. Đây là thành phần cần được vá càng sớm càng tốt trong tất cả các phiên bản để người dùng smartphone Android không bị tấn công do lỗ hổng SOP.
Điều này cũng có nghĩa là có thể 930 triệu smartphone đang trong nguy cơ bị khai thác bởi tin tặc và tội phạm mạng. Theo số liệu phân phối Android mới nhất của Google, có 46% thiết bị Android chạy Jelly Bean, 39.1% chạy KitKat, 7.8% chạy Gingerbread (phiên bản 2.3.3 đến 2.3.7), 6.7 % chạy Ice Cream Sandwich (phiên bản 4.0.3 đến 4.0.4), và 0.4 % chạy Froyo cũ (phiên bản 2.2).
Các nhà sản xuất đưa ra thị trường các smartphone này trong những năm qua không còn quan tâm đến việc cung cấp các bản vá lỗi hay có bất kì hỗ trợ nào. Chính vì thế, không biết những lỗ hổng nguy hiểm và số phận người dùng các smartphone chạy hệ điều hành Android 4.3 và trước đó sẽ đi về đâu.
Trong trường hợp này, teo lời khuyên từ Hãng bảo mật Trend Micro những điện thoại dùng hệ điều hành Android từ 4.3 về trước nên cài phần mềm bảo mật cho thiết bị của mình để bảo vệ mình trước khi chờ đợi sự hỗ trợ từ các nhà cung cấp.
