1

¡Cuidado! Stagefright te infecta a través de Android

Una nueva vulnerabilidad de Android, considerada quizás la peor de las que se conocen hasta ahora acaba de ser descubierta por los investigadores de seguridad. El bug “Stagefright” expone a cerca de un billón de dispositivos Android a malware.

CIO América Latina/Mario A. Beroes R.

El bug es la “delicia” de los hackers, quienes pueden tener acceso a contactos y otros datos, incluyendo fotos y videos, y además pueden acceder al micrófono y cámara del dispositivo, lo cual les permite espiarte, grabar audios y tomar fotografías.

La advertencia la hace Filip Chystry, Security Research de Avast, quien además agrega que “todos los dispositivos con versiones de Android Froyo 2.2 a Lollipop 5.1.1, usadas por un 95% de los dispositivos Android aproximadamente, están afectados”.

“Lo más preocupante es que el hacker solo necesitaría su número telefónico para infectar el equipo. El malware se envía por MMS a cualquier aplicación de mensajes que pueda procesar videos en formato MPEG4, cualquier aplicación nativa de dispositivos Android como Google Hangout y WhatsApp.

Según el técnico de Avast, como las aplicaciones de mensajes de Android recuperan automáticamente los contenidos de audio o vídeo, el código malicioso se ejecuta sin necesidad de que el usuario lleve a cabo alguna acción. Añade que la vulnerabilidad no exige que la víctima abra el mensaje o haga click en ningún lado. En su opinión, “esto no tiene precedentes, pues los malware usualmente requieren de alguna acción para infectar el dispositivo, o pueden diseminarse a través de algún enlace enviado vía email o compartido en redes sociales, lo que exigiría alguna interacción del usuario, pues un video no se cargaría sin abrir un link”.

-Este exploit es extremadamente peligroso, porque al transmitirse vía MMS, las víctimas no tienen que tomar ninguna acción y no hay ningún efecto aparente. El atacante puede ejecutar el código y eliminar cualquier signo de que el dispositivo ha estado en peligro, incluso antes de que la víctima se dé cuenta de que su equipo fue atacado.

Lo que desea cualquier criminal cibernético o dictador

 

Para Chystry, los  cibercriminales se aprovechan de la vulnerabilidad para espiar colectivamente a millones de personas y ejecutar códigos aún más maliciosos. Afirma, además, que los gobiernos represivos podrían hacer mal uso del bug, para espiar en sus aliados y enemigos. La vulnerabilidad también podría ser utilizada para espiar con otros fines.

“Los hackers pueden espiar a personas que conocen fácilmente, parejas, vecinos pues lo único que necesitan es el número de teléfono de la víctima. También pueden robar información personal para chantajear a millones de personas, o usar los datos en casos de robo de identidad. Las consecuencias potenciales de esta vulnerabilidad deben ser tomadas en serio”.

¿Hay una solución?

Las recomendaciones del empleado de Avast  son directas y claras. Afirma que deben ser tomadas las medidas necesarias para reparar el problema en la actualización over-the-air (OTA) del firmware para Android 2.2 y versiones superiores. Explica, que desafortunadamente las actualizaciones para dispositivos Android han tomado bastante tiempo en llegar a los usuarios.

“La buena noticia es que Google ya ha reaccionado. HTC le dijo al Diario Time, “que Google había informado a HTC del asunto y brindó los parches necesarios, que HTC comenzó a usar en proyectos en julio pasado. Todos los proyectos en los que avanzamos actualmente contienen el ajuste necesario”.

Las recomendaciones de Chystry para “protegerse” son  que se deshabilite la opción de “Recuperación automática de MMS” en la configuración de su aplicación de mensajería, por el momento, como medida de precaución.

De todas maneras aquí está una lista con instrucciones paso-a-paso para deshabilitar la recuperación de MMS en diferentes aplicaciones de mensajería de Android (también puedes acceder a las instrucciones paso a paso con imágenes ilustrativas en el blog de Avast)

Mario Augusto Beroes Ríos

Periodista graduado en la UCV en la mención Audiovisual.

There are 1 comments

  1. Pingback: Descubren nueva falla de seguridad Stagefright - CIOAL The Standard IT

Comments are closed.