Vulnerabilidad en Android Stagefright, más grave de lo que se creía
A principios de esta semana, investigadores de seguridad en Zimperium revelaron Stagefright,
una vulnerabilidad crítica en Android que permite que mediante un
mensaje de texto multimedia MMS atacar a 950 millones de dispositivos.
El defecto fundamentalmente reside en un componente del Kernerl de
Android llamado "Stagefright", una biblioteca de reproducción multimedia
utilizada por Android para procesar, grabar y reproducir archivos
multimedia. La vulnerabilidad se ha confirmado desde la versión 2.2 a la
5.1.1.
Stagefright está siendo explotada activamente y el atacante sólo
necesita del número de teléfono de la víctima para enviar un mensaje MMS
malicioso y comprometer el dispositivo, sin ninguna acción por parte
del usuario.
Nuevas formas de explotar Stagefright
En el escenario anterior un atacante puede aprovechar Stagefright solo contra sus números conocidos. Pero ahora, según la investigación reciente de TrendMicro, el ataque también puede realizarse masivamente a través de Internet, sin siquiera saber el número de teléfono.
Trend Micro ha descubierto dos nuevos escenarios de ataque que podrían
desencadenar Stagefright sin enviar mensajes multimedia maliciosos:
Explotar Stagefright desde aplicaciones nativas de Android
Explotar Stagefright mediante un HTML diseñado especialmente para visualizar un video MP4
Un archivo MP4 especialmente diseñado puede hacer que el componente mediaserver
de Android falle causando un DoS o bien puede ser explotado para
ejecutar código dañino en el dispositivo, lo cual es aún más grave.
Estos dos nuevos vectores de ataque de Stagefright llevan a
implicaciones más graves de seguridad que el anterior: un atacante
podría aprovechar el error de forma remota para atacar millones de
dispositivos Android, sin conocer sus números de teléfono y sin gastar
un centavo, robar una cantidad masiva de datos, construir una red botnet
de dispositivos Android hackeados, etc.
Lo único "positivo" es que estos nuevos vectores de ataques requieren
interacción del usuario para descargar la aplicación Android maliciosa o
bien para ingresar a la página web especialmente diseñada.
Los usuarios pueden protegerse del ataque mediante MMS desactivando la recuperación de MMS o bien utilizar aplicaciones de terceros para bloquear los MMS. Para desactivar los MMS ingresa a la aplicación de mensajería (la
misma que permite enviar SMS), presiona sobre "Settings/Ajustes" y
desactiva "Auto descarga de MMS", la cual se encuentra activada por
defecto.
Google ha emitido un parche para Stagefright ataque pero dada la
inestable historia de los fabricantes de teléfonos y operadores de red
para desplegar parches de seguridad, no se sabe cuánto tiempo llevará
actualizar todos los dispositivos Android vulnerables.
