Stagefright 2.0, nueva amenaza de seguridad en Android

Vuelve, a casa vuelve, por Navidad… a menos que seas una de las amenazas más peligrosas de la historia del sistema operativo Android, claro. Stagefright, el peligroso fallo de seguridad que amenazaba a millones de móviles de Android en todo el mundo, ha vuelto a las portadas ya que parece que los esfuerzos de Google no han sido suficientes para subsanar una de las vulnerabilidades más peligrosas de Android. Lo advertí­an en su momento los expertostodo el ecosistema del sistema operativo Android es un desastre«, se comentaba), y ahora se ha descubierto que Stagefright sigue siendo una seria amenaza de seguridad para Android, solamente que esta vez los atacantes lo tienen todaví­a más fácil para tomar el control de los dispositivos de los usuarios.

La empresa de seguridad Zimperium, que ha sido la responsable de distribuir recientemente el código fuente de la vulnerabilidad de Stagefright (a fin de facilitar el trabajo de mejoras de seguridad para los desarrolladores), ha publicado una nueva entrada en su blog en la que se menciona el navegador web de Android es vulnerable a la inyección de código malicioso a través de archivos con extensión .MP4 o .MP3. Es decir, llevada al extremo, esta vulnerabilidad permite que el usuario pueda infectar su dispositivo Android simplemente reproduciendo un archivo de ví­deo o de música albergado en una página web.

Según asegura esta empresa, la nueva vulnerabilidad de Stagefright 2.0 afecta a todos los dispositivos que tengan el sistema operativo Android en cualquiera de las versiones que se han distribuido en los últimos siete años, incluyendo también Android 5.0 Lollipop. En el caso de los dispositivos con Android 5.0 Lollipop o superior, la vulnerabilidad permite ejecutar código remoto sin permiso alguno del usuario (aprovechando el libstagefright, es decir, desde el propio sistema operativo), mientras que en las versiones anteriores la vulnerabilidad puede ser aprovechada a través de aplicaciones de terceros maliciosas. En resumen, no se libra ningún dispositivo Android.

Stagefright 2.0, nueva amenaza de seguridad en Android

Ahora bien, ¿y cómo pueden los usuarios protegerse ante la amenaza de Stagefright 2.0? A diferencia de la primera versión de Stagefright, no existe un procedimiento exacto para evitar los peligros de esta vulnerabilidad. La vulnerabilidad se esconde en los metadatos de los archivos MP3 o MP4, lo que quiere decir que, a primera vista, resulta imposible identificar un archivo de ví­deo o de audio malicioso. Tal y como ocurre en las estafas en Android, nuestra mejor protección es el sentido común, y al entrar en páginas web con tí­tulos como ‘pelí­culas gratis‘, ‘pelí­culas online‘ o ‘música MP3 gratis‘ debemos extremar las precauciones al máximo, y a ser posible debemos evitarlas por completo a no ser que estemos seguros de su credibilidad.

De momento, Google ya está al tanto de esta nueva vulnerabilidad, y aparentemente los Nexus estarán protegidos frente a Stagefright 2.0 mediante una actualización de seguridad que se distribuirá durante este mes de octubre (se habla del dí­a 5 de octubre como fecha más probable para su distribución). Por otra parte, los fabricantes recibieron el dí­a 10 de septiembre todas las herramientas necesarias para solucionar esta vulnerabilidad, por lo que compañí­as como Samsung, Huawei o Sony no deberí­an tardar mucho tiempo en distribuir sus respectivas actualizaciones de seguridad.

Primera imagen publicada originalmente por slashgear.

Mantente al día

De lunes a viernes mandamos un único newsletter con los titulares a +4.000 suscriptores

I will never give away, trade or sell your email address. You can unsubscribe at any time.