1

Descubren nueva falla de seguridad Stagefright

Hackers pueden acceder remotamente a mil millones de smartphones Android debido a vulnerabilidad en biblioteca de medios.

Según un informe publicado este jueves por la empresa de seguridad móvil Zimperium, una falla de seguridad recientemente en la forma en que Android procesa los archivos de medios pueden provocar la ejecución de un código remoto en casi todos los dispositivos que ejecutan Android, comenzando con la versión 1.0 del sistema operativo (lanzado en 2008) hasta en la última 5.1.1.

Los atacantes podrían engañar a los usuarios para que visiten sitios web que explotan la falla a través de enlaces en correos electrónicos y los mensajes instantáneos o a través de anuncios maliciosos que aparecen en los sitios web legítimos.

Atacantes man-in-the-medias están en posición para interceptar las conexiones a Internet de los usuarios, por ejemplo, en las redes inalámbricas abiertas o a través de los routers comprometidos y podrían inyectar el exploit directamente en su tráfico Web sin cifrar.

Además, reproductores multimedia de terceros o aplicaciones de mensajería instantánea que se basan en la biblioteca de Android también son vulnerables a leer los metadatos de los archivos MP3 y MP4 por lo que podrían ser utilizados como un vector de ataque, según los investigadores.

Stagefright, segunda parte

En Zimperium encontraron fallas de procesamiento multimedia similares a principios de este año en una biblioteca de Android llamada


aque podrían haber sido explotada por el simple envío de un mensaje MMS creado de manera malintencionada a los dispositivos Android.

Esta vulnerabilidad generó una reacción de “parcheo” conjunto y masivo de todos los fabricantes y llevó a que Google asumiera un programa regular de “actualizaciones” de seguridad.

Los investigadores Zimperium refieren al nuevo ataque como Stagefright 2.0 y creen que afecta a más de mil millones de dispositivos.

La vulnerabilidad se encuentra en el núcleo de la biblioteca Android llamados libutils y afecta a casi todos los equipos que ejecutan versiones de Android anteriores a 5.0 (Lollipop). Puede ser explotada en Android Lollipop (5.0 – 5.1.1) mediante la combinación con otro error encontrado en la biblioteca Stagefright.

Zimperium reportó las fallas a Google el 15 de agosto y planea lanzar una prueba de concepto de explotación de código toda vez que una solución se libere.

Esa solución llegará el 5 de octubre como parte de la nueva actualización de seguridad mensual programada de Android, según voceros de Google.