Super-Scary un defecto encontrado en Android

Comparte en ...

Zimperium el lunes reveló un sorprendente descubrimiento realizado por el investigador Joshua Drake, un defecto en «Stagefright», motor de reproducción multimedia de Android que podría exponer a millones de usuarios de dispositivos móviles para ser atacados sin haber hecho nada.

Stagefright, que procesa varios formatos de medios populares, se implementa en código nativo C++ que es más propenso a la corrupción de la memoria que los lenguajes de memoria segura, tales como Java, de acuerdo con Zimperium.

Stagefright tiene varias vulnerabilidades de ejecución remota de su código que pueden ser explotados mediante diversos métodos, dicho Zimperium.

El peor de ellos es que no requiere ninguna interacción del usuario.

Las vulnerabilidades exponen críticamente el 95 por ciento de los dispositivos Android, según Zimperium.

«Los usuarios de las versiones de Android de más de 4,1 están en riesgo extremo», dijo Drake LinuxInsider.

El defecto de No-Touch

Los atacantes no necesitan nada más que el número de teléfono móvil de la víctima para explotar la falla Stagefright, dijo Zimperium.

Pueden enviar un archivo multimedia especialmente diseñado y entregado como un mensaje MMS.

Un ataque exitoso podría eliminar el mensaje antes de que el usuario pueda verlo, dejando sólo una notificación de que se recibió el mensaje.

La víctima no tendría que tomar ninguna acción para el ataque tenga éxito. Zimperium informó de la vulnerabilidad a Google y presento parches, que Google aplicará dentro de las 48 horas.

¿ Quién está seguro ?

Los usuarios de blackphone de SilentCircle han sido protegidos contra estos problemas con el lanzamiento a principios de este mes de PrivateOS versión 1.1.7, Zimperium informó y Firefox de Mozilla para móviles, también conocido como «Fennec», se incluyó revisiones para estos temas en V38 y versiones posteriores.

Google está coordinando con los miembros de la Open Handset Alliance para obtener los temas abordados en los dispositivos compatibles con Android oficiales.

«Agradecemos a Joshua Drake por sus contribuciones», dijo el portavoz de Google, Elizabeth Markman. «La seguridad de los usuarios de Android es extremadamente importante para nosotros, por lo que respondió rápidamente y los parches ya se ha proporcionado a los socios para que se puedan aplicar a cualquier dispositivo.»

Qué está pasando ahora

Si usted es un usuario de un dispositivo Android, no debe esperar nada y prepararse para los problemas.

«Muchos fabricantes prefieren apurar parches a los propios clientes, en todo caso,» dijo Ken Westin, analista de seguridad de Tripwire .

Eso significa que «incluso mucho después de que los parches se hagan públicos, más de la mitad de los usuarios seguirá siendo vulnerable», dijo a LinuxInsider.

Además, esta vulnerabilidad se remonta a Android 2.2, que fue lanzado hace cinco años, señaló Westin, por lo que «algunos de estos dispositivos puede que no tengan parches disponibles a través de sus compañías, ya que son demasiado viejos y ya no son compatibles.»

«Este problema no muestra ningún signo de irse», dijo Drake. «Incluso en los dispositivos Nexus permanecen sin un parche hoy, presumiblemente a causa de este mismo problema.»

Panorama general de seguridad de Android

La mayoría de los dispositivos Android, incluyendo todos los dispositivos más nuevos, «tienen múltiples tecnologías que están diseñadas para hacer la exploración más difícil» dijo Markman de Google. Los dispositivos Android «también incluyen una caja de aplicación diseñada para proteger los datos del usuario y otras aplicaciones en el dispositivo.»

Bluebox año pasado descubrió un error en Android que denominó «Fake ID», que dejó anunciado un malware de Android App que puede tomar el control de otras aplicaciones.

Google retira la webview flash defecto Android desde Android 4.4 KitKat, pero el 82 por ciento de los dispositivos no pudo actualizar a la nueva versión del sistema operativo, porque los operadores móviles y fabricantes retrasan o no entregar la actualización, dijo Bluebox.

Manténgase a salvo en la tormenta Malware

La aplicación de autenticación para aplicaciones críticas podría ayudar a los usuarios de Android, siguen siendo seguras, CEO Richard Blech. Además, las credenciales de inicio de sesión no deben mantenerse en el dispositivo.

«Siempre utilice un dispositivo móvil actualizado,» sugirió Drake Zimperium, y «mantener su dispositivo actualizado a la versión más reciente en todo momento.» Si una actualización no está disponible, «instalar manualmente un sistema operativo como CyanogenMod que soporta los dispositivos más antiguos, por un período de tiempo más largo. «

Comparte en ...
Scroll al inicio