Una parte fundamental para acceder, visualizar o crear contenido, así como para realizar diversas actividades en internet desde dispositivos móviles, son los navegadores. Estas aplicaciones están especialmente diseñadas para mostrar contenido web en pantallas más pequeñas, a diferencia de lo que sucede en un ordenador de escritorio.
Los usuarios anhelan un navegador que ofrezca una experiencia fluida al consumir e interactuar con diversos tipos de contenido. Cada uno de estos navegadores presenta características únicas en la manera en que muestran y almacenan la información. Sin embargo, también representan una vulnerabilidad, ya que pueden ser una puerta de entrada para que el móvil se infecte con malware y los ciberdelincuentes roben información, especialmente si no se instalan las actualizaciones necesarias o se descargan archivos infectados que aprovechen alguna vulnerabilidad..
A continuación, analizaremos las cinco vulnerabilidades más explotadas en la segunda mitad de 2024 en los navegadores móviles más populares.
Cuota de mercado de los navegadores en dispositivos móviles.
De acuerdo con un estudio de GS.statcounter, Chrome se consolidó como el navegador líder en teléfonos inteligentes, alcanzando una participación de mercado del 65.75%. Safari se situó en segundo lugar con un 21.47%, gracias a su integración con el iPhone. En el tercer puesto se encuentra Samsung Internet, con una cuota del 3.54%, mientras que Opera tuvo un uso del 1.63% en el mercado.

Tabla 1.
Principales navegadores móviles utilizados en el mundo hasta diciembre de 2024. Fuente: GS.STATCOUNTER.
Hasta el 2022, Samsung Internet presenta vulnerabilidades. Actualmente, no hay informes de la marca sobre nuevas vulnerabilidades en su navegador. Por otro lado, Opera Web enfrenta una situación similar, ya que su historial de vulnerabilidades se remonta a más de seis años. Sin embargo, esto no implica que sean navegadores completamente seguros, ya que su seguridad depende del uso que les dé el usuario final.
Google Chrome Browser.
CVE-2024-9956.
Esta vulnerabilidad fue divulgada el 10 de octubre de 2024 y se refiere a una implementación defectuosa de WebAuthentication en Google Chrome para Android. Las versiones anteriores a la 130.0.6723.58 se encuentran en riesgo, permitiendo a un atacante local llevar a cabo una escalada de privilegios mediante una página HTML diseñada para aprovechar esta debilidad, lo que podría resultar en la instalación de malware como infostealers o troyanos.
- Dispositivos afectados: Android que no estén actualizados.
CVE-2024-8907.
Esta vulnerabilidad fue divulgada el 19 de septiembre de 2024 y se origina en una validación insuficiente de datos en Omnibox (la barra de direcciones del navegador, también conocida como cuadro multifuncional) en Google Chrome para Android. Las versiones anteriores a la 129.0.6668.58 permiten que un atacante, de manera remota, persuada a un usuario para que realice gestos específicos de la interfaz de usuario (IU) con el fin de inyectar scripts arbitrarios o HTML (XSS) mediante interacciones de la interfaz.
- Dispositivos afectados: Android con versiones desactualizadas.
CVE-2024-8639.
Esta vulnerabilidad fue divulgada el 11 de septiembre de 2024 y se basa en la explotación del autocompletado en Google Chrome para Android. Las versiones anteriores a la 128.0.6613.137 permiten que un atacante remoto potencialmente abuse de esta falla a través de la suplantación de una página HTML.
- Dispositivos afectados: Android que no estén actualizados.
CVE-2024-8637.
Esta vulnerabilidad fue divulgada el 11 de septiembre de 2024 y se basa en aprovechar el servicio del navegador que permite enviar contenido de Chrome a un dispositivo habilitado con Chromecast (Chrome Media Router). Las versiones anteriores a la 128.0.6613.137 permiten a un atacante explotar esta falla de forma remota mediante la suplantación de una página HTML.
- Dispositivos afectados: Android que no estén actualizados.
CVE-2024-8034.
Esta vulnerabilidad fue divulgada el 8 de agosto de 2024 y se refiere a una implementación deficiente de las pestañas personalizadas en Google Chrome para Android. Las versiones anteriores a la 128.0.6613.84 permiten a un atacante, de forma remota, explotar esta falla al crear miles de pestañas de una misma página HTML.
- Dispositivos afectados: Android con versiones desactualizadas.
Safari.
CVE-2024-54534.
Esta vulnerabilidad fue divulgada el 11 de diciembre de 2024. Si el navegador no está actualizado, una aplicación maliciosa podría acceder a información sensible y privada de la víctima a través de fallas de memoria, lo que le permitiría escalar privilegios en el dispositivo afectado. Además, el atacante podría alterar el tráfico de la red y provocar una denegación de servicio.
- Dispositivos afectados: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2, siempre que cuenten con las versiones mencionadas.
CVE-2024-54508.
Esta vulnerabilidad fue divulgada el 11 de diciembre de 2024. Si el navegador no está actualizado, una aplicación maliciosa podría acceder a información sensible y privada de la víctima a través de fallas de memoria, lo que permitiría escalar privilegios en el dispositivo afectado. Además, el atacante podría alterar el tráfico de la red y provocar una denegación de servicio. Debido a una validación insuficiente de la lista de lectura de Safari, se podría revelar la dirección IP original del sitio web. Si el atacante tiene acceso físico al dispositivo iOS, podría visualizar el contenido de las notificaciones desde la pantalla de bloqueo.
- Dispositivos afectados: watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 y iPadOS 18.2, siempre que cuenten con las versiones mencionadas.
CVE-2024-54505.
Esta vulnerabilidad fue dada a conocer el 11 de diciembre de 2024. Si el navegador no está actualizado, una aplicación maliciosa podría acceder a información sensible y privada de la víctima a través de fallas en la memoria, lo que le permitiría escalar privilegios en el dispositivo afectado. Además, el atacante podría alterar el tráfico de la red y provocar una denegación de servicio, incluso accediendo a partes de la memoria para ejecutar procesos maliciosos. Debido a una validación inadecuada de la lista de lectura de Safari, la dirección IP original del sitio web podría ser expuesta. Si el atacante tiene acceso físico al dispositivo iOS, podría ver el contenido de las notificaciones desde la pantalla de bloqueo.
- Dispositivos afectados: iPadOS 17.7, watchOS 11.2, visionOS 2.2, tvOS 18.2, macOS Sequoia 15.2, Safari 18.2, iOS 18.2 e iPadOS 18.2 con las versiones especificadas.
CVE-2024-44309.
Esta vulnerabilidad fue divulgada el 19 de noviembre de 2024. Si el navegador no está actualizado, permite que un atacante procese contenido web y ejecute código de manera arbitraria. Apple tuvo conocimiento de un informe que indica que este problema podría haber sido explotado activamente en sistemas Mac con procesadores Intel.
- Dispositivos afectados: Safari 18.1.1, iOS 17.7.2, iPadOS 17.7.2, macOS Sequoia 15.1.1, iOS 18.1.1, iPadOS 18.1.1 y visionOS 2.1.1 que ejecuten las versiones mencionadas.
CVE-2024-44259.
Esta vulnerabilidad fue revelada el 29 de octubre de 2024. Si no se tiene el navegador actualizado, un atacante podría aprovechar una relación de confianza para descargar contenido malicioso. Durante la navegación privada, existe la posibilidad de que el historial de navegación se filtre; además, las cookies pueden ser redirigidas a sitios que el atacante elija.
- Dispositivos afectados: iOS 17.7.1 y iPadOS 17.7.1, visionOS 2.1, iOS 18.1 e iPadOS 18.1, así como macOS Sequoia 15.1 y Safari 18.1 en las versiones mencionadas.
Firefox.
CVE-2024-9680.
Esta vulnerabilidad fue actualizada el 18 de noviembre de 2024 y fue reportada por Damien Schaeffer de ESET (Investigador de Malware). Un atacante podría conseguir la ejecución de código en el proceso de contenido al explotar la animación de líneas de tiempo. Las versiones afectadas son anteriores a 131.0.2, incluyendo Firefox ESR 128.3.1, Firefox ESR 115.16.1, Thunderbird 131.0.1, Thunderbird 128.3.1 y Thunderbird 115.16.0.
- Dispositivos impactados: Android, PC.
CVE-2024-9936.
Esta vulnerabilidad fue divulgada el 14 de octubre de 2024. Cuando se altera el nodo de la memoria caché, el atacante podría provocar un comportamiento anómalo al poder explotar otras características del navegador afectado. Las versiones anteriores a 131.0.3 son susceptibles.
- Dispositivos afectados: Android, PC.
CVE-2024-9397.
Esta vulnerabilidad fue divulgada el 1 de octubre de 2024. Una demora en el directorio para la carga de archivos de la Interfaz de Usuario (UI) podría permitir que un atacante engañe al usuario y obtenga permisos a través de clickjacking (un ataque que manipula la interfaz de un sitio web para que los usuarios hagan clic en enlaces maliciosos sin darse cuenta). Las versiones anteriores a Firefox 131, Firefox ESR 128.3, Thunderbird 128.3 y Thunderbird 131 son vulnerables.
- Dispositivos afectados: Android, PC.
CVE-2024-9403.
Esta vulnerabilidad fue divulgada el 1 de octubre de 2024, relacionada con errores de seguridad en la memoria en Firefox 130. Algunos de estos problemas evidenciaron corrupción en la memoria, lo que sugiere que, con el esfuerzo adecuado, algunos podrían haber sido aprovechados para ejecutar código arbitrario. Las versiones anteriores a Firefox 131 y Thunderbird 131 son vulnerables.
- Dispositivos afectados: Android, PC.
CVE-2024-9400.
Esta vulnerabilidad fue divulgada el 1 de octubre de 2024. Se trata de una posible vulnerabilidad por corrupción de memoria que podría activarse si un atacante logra provocar una OOM (Out Of Memory Killer, en inglés), un proceso que ocurre cuando el sistema tiene memoria insuficiente. Este proceso evalúa las aplicaciones y finaliza aquellas que consumen más memoria de la que deberían, lo que puede suceder en un momento específico durante la compilación de JIT. Las versiones anteriores a Firefox 131, Firefox ESR 128.3, Thunderbird 128.3 y Thunderbird 131 son susceptibles.
- Dispositivos afectados: Android, PC.
Conclusiones.
Como hemos señalado en publicaciones anteriores, las vulnerabilidades persistentes resaltan la importancia de aumentar la concienciación entre los usuarios. No seguir buenas prácticas, como mantener actualizadas las aplicaciones móviles y de escritorio, puede facilitar el robo de información y su venta en mercados ilegales. Incluso las vulnerabilidades de bajo impacto pueden poner en riesgo la seguridad de nuestros dispositivos, por lo que es esencial estar informados y adoptar medidas preventivas.