La empresa de seguridad informática Zimperium publicó un informe sobre un nuevo conjunto de vulnerabilidades detectados en Android y basados en una biblioteca multimedia denominada Stagefright, que puede ser explotada mediante archivos multimedia especialmente diseñados e incluidos, por ejemplo, en MMS enviados al dispositivo.
La explotación de esta vulnerabilidad no requiere interacción por parte del usuario. Asimismo, el intruso puede utilizar otros métodos que le permitan ocultar la recepción del mensaje MMS frente al usuario, borrándolo antes que éste lo detecte. Por lo tanto, el ataque puede ser realizado sin que el usuario se percate. De igual modo, los intrusos pueden utilizar otros vectores de ataque que también implican el uso de archivos multimedia.
La información aportada por Zimperium indica que Stagefright es una biblioteca basada en C++, incorporada con Android 2.2 (Froyo). Las versiones 4.1 (Jelly Bean) y más recientes contienen una serie de medidas que debilitan la explotación de vulnerabilidades. A pesar de ello, no está claro si estas medidas pueden contener o neutralizar los ataques Stagefrigth.
Joshua Drake, director de investigación científica de Zimperium zLabs, explicó que, para el caso de algunos dispositivos, Stagefright proporciona acceso al gestor de grupos de sistema, que tiene privilegios prácticamente a nivel root. “El sistema ejecuta distintas funciones. Hace posible vigilar las comunicaciones del dispositivo y hacer muchas cosas siniestras”, declaró Drake, agregando que Android aplica una gestión de grupo que hace posible para Stagefright conectarse a Internet. “Yo preferiría que un servicio que realiza procesos arriesgados no tenga acceso a Internet”, dijo el experto, a cuyo juicio el sistema de procesamiento de meta datos en la biblioteca es “agresivo y promiscuo”.
Zimperium declaró que Google fue informada de las vulnerabilidades, y que estas ya han sido eliminadas, al menos en el código fuente de versiones internas, y en el marco de Android Open Source Project. Sin embargo, esto no sirve de mucho para la mayoría de los propietarios de dispositivos operados con Android, a menos que también los fabricantes instalen los parches mediante actualizaciones OTA (Over The Air).
Google, por su parte, declaró que los parches ya están a disposición de los socios comerciales del ecosistema Android, mediante Open Handset Alliance, y que, por lo tanto, ya pueden ser instalados en todo tipo de dispositivos.
Sin embargo, según Zimperium, la experiencia ha demostrado que los usuarios de dispositivos más antiguos o más económicos, no reciben estas actualizaciones de seguridad, o deben esperar más tiempo antes de poder instalarlas.
