Nuevas vulnerabilidades que representan una grave amenaza para Android

Una serie de nuevas vulnerabilidades para Android podrían permitir a atacantes remotos comprometer los dispositivos afectados simplemente enviándoles un mensaje multimedia malicioso

Cortesia: Symantec

Anonymous_ataca_paginas_web_fuerzas_seguridad_britanicas_estadounidensesUna serie de nuevas vulnerabilidades para Android podrían permitir a atacantes remotos comprometer los dispositivos afectados simplemente enviándoles un mensaje multimedia malicioso (MMS). Las vulnerabilidades representan una amenaza para los usuarios de Android, ya que, en la mayoría de los casos, la víctima sólo tiene que mirar el mensaje malicioso para detonar un exploit.

Los siete son conocidos colectivamente como Google Stagefright Media Playback Engine Multiple Remote Code Execution Vulnerabilities (CVE - 2015-1538 , CVE - 2015-1539 , CVE - 2015-3824 , CVE - 2.015-3.826 , CVE - desde 2015 hasta 3827 , CVE- 2015-3828 y CVE - 2.015-3.829). Las vulnerabilidades afectan un componente de Android conocido como Stagefright, que es responsable del manejo de la reproducción multimedia.

Una liberación exitosa de cualquiera de las siete vulnerabilidades podría proveer al atacante de capacidades de ejecución de código remoto; esto podría permitirle instalar malware en el dispositivo y robar datos de áreas a las que se accede con permisos de Stagefright.

Symantec clasifica estas vulnerabilidades como críticas debido a la amenaza que representa la facilidad de propagación. Todo lo que un hacker tiene que hacer para explotar estas vulnerabilidades es enviar un mensaje multimedia especialmente diseñado (MMS) a cualquier dispositivo Android. La ejecución requiere poca o ninguna interacción de la víctima; en la mayoría de los casos, sólo debe abrir el mensaje MMS para activar el exploit. En algunas ocasiones, como cuando se envía un mensaje malicioso a través de Google Hangouts, el exploit se dispara una vez que se recibe el mensaje, antes de que la víctima reciba la notificación.

Las vulnerabilidades fueron descubiertas por el investigador de seguridad de Zimperium zLabs Joshua Drake, que notificó a Google acerca de ellos en dos etapas, en abril y mayo. Google creó un parche para las vulnerabilidades el 8 de mayo. En un comunicado enviado a la revista Forbes, Google dijo que la mayoría de los dispositivos Android, incluyendo los más nuevos, "tienen múltiples tecnologías que están diseñados para dificultar la infección". "Los dispositivos Android también incluyen una aplicación Sandbox, diseñada para proteger los datos del usuario y otras aplicaciones en el dispositivo”, dijo.

La gravedad de estas vulnerabilidades se vuelve mayor por el hecho de que, a pesar de la disponibilidad de un parche de Google, los usuarios están en riesgo hasta que los carriers y fabricantes desplieguen sus propios parches. Esto puede tomar semanas o meses, y muchos dispositivos antiguos no cuentan con un parche hecho para ellos.

Mitigación

Se recomienda a los usuarios de Android aplicar las actualizaciones de seguridad emitidas por el fabricante del soporte o del dispositivo a medida que estén disponibles.

Hasta que pueda usar el parche, tenga cuidado si recibe mensajes multimedia no solicitados y evite descargar o reproducir contenido multimedia enviado desde fuentes desconocidas.

Los usuarios de Android pueden deshabilitar la recuperación automática de los mensajes multimedia modificando la configuración, y el proceso es el mismo para Google Hangouts; esto proporcionará una mitigación parcial, pero no impedirá que las vulnerabilidades sean detonadas si un mensaje multimedia con formato incorrecto o malintencionado se descarga y se abre.

Stagefright 2 edit 2.png

Figura 1. Recuperación automática de mensajes multimedia habilitados en la configuración. Desactive esta característica para la mitigación parcial.

Stagefright 5 edit.png

Figura 2. Recuperación de mensajes multimedia automática en Google Hangouts. Desactive esta característica para la mitigación parcial.

Sin etiquetas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *