27 jul. 2015

Stagefright: Vulnerabilidad crítica en todos los dispositivos Android

Joshua Drake, Vicepresidente de investigación de la empresa Zimperium, ha confirmado que el 95% de dispositivos Android ejecutando la versión 2.2 (Froyo) a 5.X (la última Lollipop) son vulnerable a un fallo de seguridad, que afecta a más de 950 millones de dispositivos.

La vulnerabilidad reside en un componente del Kernel de Android llamado "Stagefright", una biblioteca que permite procesar, grabar y reproducir archivos multimedia y archivos PDF. Drake es co-autor del libro Android Hackers Handbook y según afirma sólo los dispositivos ejecutando versiones anteriores a Android 2.2 no son afectados, debido a que no incluyen el componente vulnerable. Las vulnerabilidades incluyen las CVE-2015-1538, CVE-2015-1539, CVE-2015-3824, CVE-2015-3826, CVE-2015-3827, CVE-2015-3828, CVE-2015-3829.

Drake ha desarrollado un exploit que utiliza un simple mensaje de texto especialmente diseñado y utilizando el formato de mensaje multimedia (MMS). Un atacante sólo necesita el número de teléfono del dispositivo Android de la víctima y entonces podría enviar el mensaje malicioso que subrepticiamente ejecutará el código malicioso en el dispositivo vulnerable, sin ninguna acción por parte del usuario final.

"Estas vulnerabilidades son extremadamente peligrosas ya que no requieren que la víctima realice ninguna acción" dijo Drake en el blog de Zimperium.

La misma vulnerabilidad también puede explotarse mediante otras técnicas de ataque y Drake presentará sus hallazgos completos, incluyendo seis técnicas de ataque adicionales para explotar la vulnerabilidad, en Conferencia de seguridad Black Hat en Las Vegas el próximo 5 de agosto y DEFCON 23 el 7 de agosto.

Google ha actualizado el código y lo envió a los fabricantes de dispositivos, pero debido a que los dispositivos Android requieren actualizaciones OTA por parte de los fabricantes y operadoras de telefonía, no se sabe cuánto tiempo llevará a las empresas actualizar los dispositivos Android vulnerables. Además, aunque se publique la actualización, la mayoría de los usuarios Android seguirán siendo vulnerables debido a que las versiones más antiguas del sistema operativo no son soportadas y por lo tanto no serán actualizadas.

Silent Circle ya ha parcheado su Blackphone y HTC ha informado que se encuentra trabajando. Por su lado Mozilla, que utiliza Stagefright en Firefox OS ya ha actualizado.

Actualización. 31/07/2015: Vulnerabilidad en Android Stagefright, más grave de lo que se creía.

Fuente: HackerNews

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!