Hay una nueva ronda de vulnerabilidades con el nombre Stagefright. El malware que permite a los atacantes ejecutar código malicioso en más de mil millones de teléfonos Android con antiguas versiones, así como en muchas más recientes del sistema operativo Android de Google.

Stagefright 2.0, que así ha sido bautizado por los investigadores de la empresa de seguridad Zimperium, es un juego de dos errores que se desencadenan cuando se procesan archivos especialmente diseñados como vídeo o audio MP4 y MP3. El primer fallo, que se encuentra en la biblioteca libutils, reside en todas las versiones de Android desde 1.0, que fue lanzado en 2008, hasta las más actuales. La vulnerabilidad puede ser explotada incluso en los nuevos dispositivos con defensas reforzadas mediante la explotación de la segunda vulnerabilidad en libstagefright, la biblioteca de código de Android utilizada para procesar los archivos de medios. Google todavía no ha emitido un número de índice CVE para este segundo error.

Cuando se combinan, las fallas permiten a los atacantes de los archivos de audio o vídeo utilizados ejecutar código malicioso en los teléfonos con Android 5.0 o posterior. Los dispositivos que ejecutan 5.0 o versiones anteriores pueden ser explotados de manera similar al usar la función vulnerable dentro de libutils, la condición depende de lo que otros fabricantes instalen aplicaciones y lo que toca la funcionalidad precargada en el teléfono. En una entrada de blog publicada el jueves, los investigadores de Zimperium escribieron:

La vulnerabilidad reside en el procesamiento de los metadatos dentro de los archivos, en el modo vista previa de la canción o vídeo desencadenaría todo. Dado que el vector de ataque principal de MMS se ha eliminado en las versiones más recientes de Hangouts y aplicaciones de mensajería de Google, el vector de ataque más probable sería a través del navegador web.

1. Un atacante podría intentar convencer a un usuario desprevenido de visitar una URL que apunta a un sitio Web atacante controlado (por ejemplo, phishing o campaña publicitaria maliciosa).
2. Un intruso en la misma red podría inyectar el exploit utilizando técnicas de interceptación de tráfico común (MITM) para el tráfico de red sin cifrar destinado al navegador.
3. Aplicaciones de terceros (reproductores multimedia, mensajería instantánea, etc.) Que están utilizando la biblioteca vulnerables.

Representantes de Google han dicho que la nueva ronda de errores Stagefright se solucionará en una actualización prevista para el lanzamiento de la próxima semana de Android 6.0 Marshmallow. Una vez que Google haga disponible la actualización, podría tomar un tiempo de una semana para que estn disponible para los usuarios de teléfonos Nexus e incluso más tiempo para otras marcas.

El nuevo StagefFright amenaza la seguridad de los usuarios de Android