El pasado julio saltó, incluso a los medios más
generalistas, el anuncio de una nueva vulnerabilidad
crítica en dispositivos Android. Bastaba recibir un MMS para lograr el control del dispositivo afectado,
prácticamente el 90% de todos los Android. Por si fuera poco, y con millones de
dispositivos aun por parchear, se acaban de anunciar dos nuevas vulnerabilidades,
en la misma librería, que podrían
permitir la ejecución de código remoto con solo previsualizar archivos MP3 o
MP4.
Como
continuación de los
anteriores descubrimientos de vulnerabilidades en la librería Stagefright, el
reconocido investigador Joshua J. Drake (@jduck) de la empresa Zimperium, vuelve
a presentar un conjunto de vulnerabilidades que van a hacer temblar a más de un
Android. Y sin necesidad de vibración.
Las nuevas
vulnerabilidades, al igual que la anterior también residen en la librería Stagefright,
por lo que de forma imaginativa han quedado bautizadas como Stagefright 2.0. Un
conjunto de dos
vulnerabilidades que se presentan al tratar archivos de audio MP3 o vídeo
MP4 específicamente creados.
La primera
vulnerabilidad, (en libutils) afecta prácticamente a todos los Android desde la
versión 1.0 publicada en 2008. Empleando la segunda vulnerabilidad (en libstagefright)
han encontrado métodos para aprovechar la vulnerabilidad de forma exitosa en
dispositivos con Android 5.0 y posteriores,
Al contrario
que el anterior ataque de Stagefright, que requería el envío de un MMS ahora el
atacante basta con dirigir a la víctima a un sitio web que contenga el archivo
multimedia malicioso. Lo peor es que el
usuario ni siquiera necesitará abrir el archivo para verse afectado.
"La vulnerabilidad reside en el tratamiento de los metadatos del los archivos, por lo que simplemente la vista previa de una canción o video provocaría la vulnerabilidad". ("The vulnerability lies in the processing of metadata within the files, so merely previewing the song or video would trigger the issue").
Al igual que
con el caso anterior, el anuncio se ha reportado de forma responsable. Drake y
compañía han coordinado esfuerzos para que el equipo de Google corrija los
fallos y estos estén a disposición de los fabricantes. El problema fue
notificado al Equipo de Seguridad de Android el pasado 15 de agosto. Google respondió
rápidamente y actuaron para corregir el problema.
Se ha asignado
el CVE-2015-6602 al primer problema, sin embargo la segunda vulnerabilidad aun
no tiene código CVE asignado. El equipo de Zimperium confirma que Google distribuirá la solución a estas vulnerabilidades
en el próximo boletín de seguridad de Nexus que se publicará la semana que viene.
A pesar de
todo, las últimas reflexiones de la
anterior una-al-día siguen siendo totalmente válidas. Algunos de los fabricantes propagarán rápidamente las actualizaciones
pertinentes para sellar las grietas. Otros, como es de conocido sufrimiento,
tardarán un poco más y otros no llegarán nunca.
Más información:
una-al-dia
(28/07/2015) Drake y el codiciado tesoro del androide
Experts Found a Unicorn in the Heart
of Android
Zimperium
zLabs is Raising the Volume: New Vulnerability Processing MP3/MP4 Media
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario