La empresa especializada en soluciones de ciberseguridad de alto rendimiento, publicó un comunicado respecto a la vulnerabilidad “Stagefright” que afecta alrededor del 95% de los dispositivos Android. La vulnerabilidad está considerada como crítica, ya que afecta al dispositivo sin que haya interacción por parte del usuario.
El 27 de julio, el proveedor de sistemas de seguridad móvil Zimperium anunció una vulnerabilidad descubierta en la librería de Android llamada «Stagefright» responsable de procesar distintos formatos de medios. El escenario más peligroso del ataque era un mensaje especial creado a mano que utiliza el formato MMS que podría ser procesado con la ayuda de la librería Stagefright.
Al recibir el mensaje malicioso, la aplicación responsable de gestionar tales mensajes muestra una vista previa del mensaje en la zona de notificaciones. De esta manera consigue que el código vulnerable se active en el teléfono.
La vulnerabilidad está considerada como crítica, ya que afecta al dispositivo sin que haya interacción por parte del usuario; por ejemplo, simplemente por recibir un MMS. Otros exploits y malware para teléfonos Android implican acción por parte del usuario, como que éste instale una aplicación, haga clic en un link, abra un MMS, etc. Además, en este caso, el mensaje recibido puede ser eliminado, sin dejar huella del intento de ataque en la víctima del teléfono.
Todo lo que necesita el cibercriminal es el número de teléfono de la víctima y que el dispositivo Android ejecute la versión 2.2 “Froyo” o posterior, para que el exploit empiece a operar.
¿QUÉ TELÉFONOS SE ENCUENTRAN EXPUESTOS A ESTE ATAQUE?
- Todos los dispositivos que dispongan de sistema operativo Android o derivado, desde la versión 2.2.
- Los dispositivos con versiones de Android anteriores a la 4.1 “Jelly Bean” sin parchear, son los más vulnerables por no disponer de un sistema adecuado para mitigar los exploits.
- Los investigadores estiman que el total de dispositivos vulnerables es de 950 millones, es decir, un 95% de todos los dispositivos Android.
Además, esta vulnerabilidad también afecta a Mozilla Firefox, ya que utiliza la misma librería en todas las plataformas, excepto en Linux. Esto se ha resuelto con un parche en la versión 38 de Firefox y se recomienda a los usuarios actualizar sus navegadores.
¿CUÁL ES EXACTAMENTE LA VULNERABILIDAD?
Los Laboratorios FortiGuard, compuesto por el equipo de expertos en identificación de amenazas de Fortinet, están evaluando y realizando sus primeras hipótesis con la información disponible hasta ahora. Hay una función dentro de la librería Stagefright que lee el buffer 4 bytes a la derecha, por lo que podría encontrarse con una página de memoria no mapeada. Esta hipótesis está basada en vulnerabilidades anteriores de la misma librería en el código fuente Android y otros sistemas operativos basados en Android.
Los detalles técnicos del exploit, a fecha de hoy, todavía no están claros y habrá que esperar hasta la BlackHat, el evento de ciberseguridad que se celebrará del 10 al 13 Noviembre, donde se dará a conocer el exploit exacto.
¿QUÉ PUEDEN HACER LOS USUARIOS DE UN DISPOSITIVO VULNERABLE?
Desde Fortinet se recomienda lo siguiente:
1. Deshabilitar la opción de descarga automática de mensajes MMS en las aplicaciones que gestionan tales mensajes, como la que se utiliza por defecto: Android Messaging, así como Google Hangouts o cualquier otra aplicación similar.
2. Actualizar el sistema operativo del teléfono Android. Los parches de algunas versiones más populares del SO ya están disponibles (CyanogenMod & Blackphone).
- Parcheado en CyanogenMod versiones 12.0 y 12.1: https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8
- Parcheado en BlackPhones con PrivatOS versión 1.1.7
- Las actualizaciones para teléfonos Google Nexus estarán disponibles a principios de la próxima semana.
Los códigos internos de Android se han actualizado tras la publicación de este incidente, pero la actualización de los diferentes modelos de teléfonos dependerá de
la reacción de cada fabricante que utiliza el sistema operativo Android en sus dispositivos. Es posible que muchos dispositivos Android no sean actualizados.
