Las vulnerabilidades en la estructura multimedia de Android permite a un atacante comprometer de forma remota su dispositivo con facilidad, dijo un investigador.
PCWorld | Lucian Constantin
La gran mayoría de los teléfonos Android pueden ser hackeados mediante el envío de un mensaje multimedia especialmente diseñado (MMS), encontró un investigador de seguridad.
El ataque, conocido como “scary exploit”, solo requiere conocer el número de teléfono de la víctima, fue desarrollado por Joshua Drake, vicepresidente de investigación y explotación de plataforma de la compañia de seguridad móvil Zimperium.
Drake encontró múltiples vulnerabilidades en un núcleo componente de Android llamado Stagefright que se utiliza para procesar, reproducir y grabar archivos multimedia. Algunos de los defectos permite la ejecución remota del código y puede ser activado cuando se recibe un mensaje MMS, la descarga de un archivo de video especialmente diseñado a través del navegador o abrir una página web con contenido multimedia.
Hay muchos posibles vectores de ataque, porque cada vez que el sistema operativo Android recibe contenido multimedia de cualquier fuente se ejecutará a través de este marco, dijo Drake.
La biblioteca no se utiliza solo para la reproducción multimedia, sino también para generar automáticamente imágenes en miniatura o para extraer los metadatos de archivos de video y audio, tales como longitud, altura, anchura, la velocidad de fotogramas, canales y otra información similar.
Esto significa que los usuarios no necesariamente tienen que ejecutar archivos multimedia maliciosos a fin de que las vulnerabilidades encontradas por Drake sean explotadas. La mera copia de dichos archivos en el almacenamiento interno del teléfono.
El investigador no está seguro de cuántas aplicaciones se basan en Stagefright, pero cree que casi cualquier aplicación que se encargue en los archivos multimedia de Android utilizan el componente de una manera u otra.
El vector de ataque MMS es el más temible de todos, ya que no requiere ninguna interacción por parte del usuario; el teléfono sólo tiene que recibir un mensaje malicioso.
Por ejemplo, el atacante podría enviar el MMS maliciosos cuando la víctima esté durmiendo y el timbre del teléfono esté silenciado, dijo Drake. Después de la explotación del mensaje se puede eliminar, por lo que la víctima ni siquiera sabrá que su teléfono fue hackeado, dijo.
El investigador no solo encontró las vulnerabilidades, sino que creó los parches necesarios para su corrección, y los compartió con Google en abril y a principios de mayo. La compañía tomó las cuestiones muy en serio y aplicó los parches a su base de código interno de Android dentro de 48 horas, dijo.
Ese código se comparte por adelantado con los fabricantes de dispositivos que se encuentran en el programa de asociación Android, antes de su lanzamiento público como parte del proyecto de código abierto Android (AOSP).
Desafortunadamente, debido a la lentitud general de las actualizaciones de Android, más del 95 por ciento de los dispositivos Android siguen siendo vulnerables, afirma Drake.
Incluso entre la línea de dispositivos Nexus de Google, que normalmente reciben los parches más rápidos que los otros fabricantes, solo el Nexus 6 ha recibido algunas de las soluciones hasta ahora, dijo el investigador.
Los parches de Android pueden tardar meses en llegar a los dispositivos de los usuarios finales a través de actualizaciones over-the-air. Eso es porque los fabricantes tienen que sacar primero el código de Google en sus propios repositorios, construir nuevas versiones de firmware para cada uno de sus dispositivos, probarlos y luego trabajar con las compañías de telefonía móvil para distribuir las actualizaciones. Los dispositivos mayores de 18 meses por lo general dejan de recibir actualizaciones por completo, dejándolos vulnerables a los problemas recién descubiertos de forma indefinida.
Las vulnerabilidades encontradas por Drake afectan a los dispositivos que ejecuten versiones de Android 2.2 y superior, lo que significa que hay un gran número de dispositivos que probablemente nunca recibirán parches para ellos.
El investigador estima que sólo alrededor de un 20 al 50 por ciento de los dispositivos Android que están en uso hoy en día terminarán en conseguir los parches para los problemas que encontró. Señaló que el 50 por ciento es una ilusión y que estaría sorprendido si eso ocurriera.
En un comunicado enviado por correo electrónico, Google agradeció a Drake por su contribución y confirmó que los parches han sido entregados a los socios.