Er is een video online verschenen waarin een beveiligingslek wordt gedemonstreerd dat in 75% van de Androidtoestellen aanwezig is. De kwetsbaarheid bevindt zich in de standaard Android Open Source Platform (AOSP) browser en zorgt ervoor dat de Same-Origin Policy (SOP) beveiliging is te omzeilen.

Daardoor kan een kwaadaardige website de inhoud van andere websites bekijken, maar ook sessiecookies stelen om zo de sessie van een gebruiker op een website waar hij is ingelogd over te nemen. Hoewel er in eerste instantie werd gesteld dat het probleem alleen in de AOSP-browser aanwezig is, blijkt dit niet te kloppen. Ook andere browsers die de kwetsbare versie van WebView gebruiken lopen risico.

Het gaat onder andere om de Maxthon Browser (die beweert meer dan 600 miljoen downloads te hebben) en de CM Browser (die tussen de 10 miljoen en 50 miljoen installaties heeft. Een WebView is een browservenster dat ontwikkelaars aan hun apps kunnen toevoegen. Het maakt het mogelijk om websites en pagina's binnen de schermlay-out van de applicatie weer te geven.

"We zijn er zeker van dat voldoende apps die WebView gebruiken kwetsbaar voor deze Universele Cross-Site Scripting zijn, en tot nu toe heb ik weinig patches gezien, op de upstream patches van Google voor Android na", zegt Todd Beardsley van beveiligingsbedrijf Rapid 7. Hij merkt op dat de "downstream" gebruikers die van hun specifieke leverancier verantwoordelijk zijn voor het ontvangen van updates hier weinig aan hebben. De kwetsbaarheid is aanwezig in alle versies voor Android 4.4, wat overeenkomt met 75% van de Androidtoestellen.

Rapid 7, dat de aanbieder van het Metasploit Framework is, heeft een update voor de Metasploit-module uitgebracht waarmee het lek is aan te vallen. De update zorgt voor een betere integratie van de module met BeEF, wat staat voor het Browser Exploitation Framework. In onderstaande video wordt gedemonstreerd hoe een aanvaller via BeEF het lek in kwetsbare Androidtoestellen kan aanvallen.