Google publicó el lunes una actualización de over-the-air para los dispositivos Nexus, que incluye parches para las vulnerabilidades más recientes en Stagefright y otros defectos.
Función de procesamiento de Android «Stagefright», ponía en peligro recientemente 1 mil millones de dispositivos en todo el mundo, y se pone una vez más en riesgo, reveló Zimperium la semana pasada.
Zimperium encontró dos nuevas vulnerabilidades de Stagefright que se manifiestan cuando el motor de reproducción multimedia de Android maneja archivos de vídeo MP especialmente diseñado de audio MP3.
La primera vulnerabilidad, lo que Google llama «CVE-2015 hasta 6602,» está en libutils. Existe en «todas las versiones de Android desde el primer AOSP (Android Open Source Project) código de impulso», dijo Zuk Avraham, director de tecnología de Zimperium.
La segunda vulnerabilidad, en libstagefright, afecta sólo los dispositivos con Android 5.0 y superior, le dijo a LinuxInsider.
Ha sido nombrado «CVE-2015 a 3876», dijo el portavoz de Google Elizabeth Markman.
Google publicará sus últimos parches de AOSP, así como en su foro de Android actualizaciones de seguridad, Markman LinuxInsider.
La fijación de las fallas
Zimperium reveló el primer defecto Stagefright este verano. Google lanzó un parche, pero fue criticado casi de inmediato. Fue posible pasar por alto el parche, según Exodus.
A pesar del problema reportado, Google siguió distribuyendo el parche defectuoso de los dispositivos Android a través de actualizaciones over-the-air, dijo la firma.
Por ahora, sin embargo, «los números anteriores señalados por Zimperium, Exodus, etc., ya han sido corregidos,» mantiene Markman.
¿ En caso de que usuarios de Android tengan miedo ?
En más del 85 por ciento de los dispositivos Android, el ASLR o espacio de direcciones aleatoria del diseño, la tecnología está habilitada, dijo Adrian Ludwig (Principal Ingeniro de Seguridad Android) poco después de que la noticia de la primera falla Stagefright saliera a la superficie.
ASLR hace que sea más difícil de explotar errores, señaló, y es sólo una de varias tecnologías que protegen a los dispositivos Android.
ASLR apareció por primera vez en Android 4.0, también conocido como Ice Cream Sandwich.
ASLR «no es una codificación segura, sino más bien una característica que proporciona el sistema operativo para bloquear un paso importante en el proceso de explotación», explicó Craig Young, un investigador de seguridad cibernética con Tripwire.
«Zimperium solamente eran capaces de decir que Stagefright v1 era teóricamente explotable para la ejecución remota de código en un teléfono Android Lollipop-actualizada», dijo a LinuxInsider.
ASLR «puede y no en general evitar la explotación directa de los errores de corrupción de memoria», dijo. Para las versiones anteriores de Android con una vulnerabilidad conocida por separado, es posible moverse por ASLR si que el atacante pueda revelar las direcciones de memoria necesarios para calcular la ubicación de los llamados aparatos de ROP «.
Mantenerse a salvo
Siempre hay un retraso entre el momento en Google lleva a cabo un parche de Android y cuando realmente llegua a los consumidores.
Eso es porque los fabricantes de teléfonos inteligentes primero tienen que probar el parche y asegurarse de que funciona con sus interfaces de usuario e implementaciones de Android, y las compañías también tienen que probar el parche y aprobarlo.
La situación está mejorando: Algunos proveedores han firmado un requisito mensual de parches con la capacidad de empujar directamente cambios a sus dispositivos sin restricciones de envíos, dijo Young.
Además, «se proporcionaron parches para problemas en la actualización de seguridad el 10 de septiembre, y estamos trabajando con los fabricantes de equipos y soportes para entregar actualizaciones tan pronto como sea posible», señaló Markman de Google.
Mientras tanto, los consumidores deben utilizar la última versión y aplicaciones de Messenger, que «tienen cambios importantes que impiden la explotación automática, sin vigilancia de las vulnerabilidades expuestas por libstagefright», aconsejó Avraham de Zimperium.
También deben aplicar las actualizaciones del sistema operativo tan pronto como estén disponibles, y exigir actualizaciones de sus portadores y vendedores si no se reciben en las próximas semanas.
Los consumidores también deben evitar la interacción con las partes que no se confía. No descargue medios de comunicación a partir de fuentes no confiables, ni visite sitios web no confiables o conectarse a redes WiFi desconocidas y sin protección, advirtió Avraham. Por último, asegúrese de que todas las comunicaciones Web se llevan a cabo a través de HTTPS.