Android 4.4'ün varsayılan web tarayıcısının zararlı sitelerin güvenlik mekanizmalarını aşmaya izin veren bir açığa sahip olduğu anlaşıldı.
Araştırmaya göre kullanıcının diğer sitelerdeki oturumları üzerinde kontrole izin veren açık, tarayıcının javascript'i işlemesiyle ilgili bir kısımda bulunuyor. Null bayt karakteriyle başlayan dizilerde tarayıcı, diğer web siteleriyle etkileşim kurmayı engelleyecek güvenlik önlemini devreye sokmuyor. Güvenlik araştırmacılarına göre bu, herhangi bir saldırgan web sitesinin, açık diğer web sayfalarının içeriğine göz atabileceği anlamına geliyor. Açık, örneğin arka plandaki bir pencerede açık olan e-posta hesabınızın detaylarına zararlı sitenin ulaşmasına olanak tanıyor.
Açık, ilk olarak bağımsız güvenlik araştırmacısı Rafay Baloch tarafından keşfedilmişti. Baloch, açığı ispat eden bilgileri 31 Ağustos'ta blog'unda yayınlamış olsa da sorun, Metasploit takımının oturum açma cookie'lerini çalan bir modül geliştirmesine kadar pek fark edilmedi.
Ciddi görünen açığın kapatılması için gereken araştırmalar devam ediyor. Açıktan etkilendiğine inanan kullanıcıların Chrome, Firefox, Dolphin veya Opera gibi alternatif bir web tarayıcısı kullanması öneriliyor.