Descubierto un gran fallo de seguridad en Android
Una enorme vulnerabilidad de seguridad en Android ha sido descubierta por un investigador, quien reveló que los dispositivos pueden ser secuestrados usando nada más que un simple mensaje MMS. El exploit se cree que afectará a casi todos los dispositivos Android actualmente en uso, incluyendo los que van desde las versiones del sistema operativo de Android 2.2 FroYo en adelante.
Joshua Drake, vicepresidente de investigación de la plataforma especialista en seguridad móvil Zimperium, que ya ha descubierto varias vulnerabilidades en un componente central del sistema operativo llamado ‘Stagefright’, que se utiliza para jugar, crear y editar archivos multimedia. Él describe este último fallo de seguridad de Android como «las peores vulnerabilidades Android descubiertas hasta la fecha», y agregó que «si ‘Heartbleed’ ya producía escalofríos por la columna vertebral a los usuarios de ordenado, esto es mucho peor».
Han encontrado que algunas de estas vulnerabilidades podrían ser explotadas para ejecutar un código de forma remota en el dispositivo, simplemente mediante la recepción de un mensaje MMS, o viendo un archivo de vídeo especialmente construido en un navegador web, o incluso a través de la visualización de una página web aparentemente inocente con contenido multimedia incrustado.
Lo que hace esta amenaza sea particularmente preocupante es que no requiere ninguna acción de autorización por parte del usuario en absoluto. Drake señala que nuestro teléfono podría recibir un MMS mientras el smartphone está en silencio y nosotros durmiendo, y aún así se ejecutará el código malicioso en el dispositivo y, a continuación, establecería el mensaje MMS para eliminarse, por lo que ni siquiera serías consciente del hecho de que el dispositivo acaba de conseguir entrar y poseer tu teléfono en la distancia.
Sin embargo, los atacantes están limitados en sus capacidades de explotar esta vulnerabilidad; algunos dispositivos ofrecen mayores privilegios al marco Stagefright que otros, por lo que el alcance de la vulnerabilidad diferirá entre dispositivos. En la mayoría de ellos, la cámara, el micrófono y la partición y almacenamiento externo serán vulnerables, pero Drake cree que alrededor del 50% de los dispositivos afectados ejecutarán Stagefright con privilegios elevados, por lo que es más fácil de obtener acceso root y tener plenamente el control.