Cabecera-v2-web.jpg

Stagefright 2.0. El peligro continúa en dispositivos Android



El pasado julio saltó, incluso a los medios más generalistas, el anuncio de una nueva vulnerabilidad crí­tica en dispositivos Android. Bastaba recibir un MMS para lograr el control del dispositivo afectado, prácticamente el 90% de todos los Android. Por si fuera poco, y con millones de dispositivos aun por parchear, se acaban de anunciar dos nuevas vulnerabilidades, en la misma librerí­a, que podrí­an permitir la ejecución de código remoto con solo previsualizar archivos MP3 o MP4.

Como continuación de los anteriores descubrimientos de vulnerabilidades en la librerí­a Stagefright, el reconocido investigador Joshua J. Drake de la empresa Zimperium, vuelve a presentar un conjunto de vulnerabilidades que van a hacer temblar a más de un Android. Y sin necesidad de vibración.

Las nuevas vulnerabilidades, al igual que la anterior también residen en la librerí­a Stagefright, por lo que de forma imaginativa han quedado bautizadas como Stagefright 2.0. Un conjunto de dos vulnerabilidades que se presentan al tratar archivos de audio MP3 o ví­deo MP4 especí­ficamente creados.

La primera vulnerabilidad, (en libutils) afecta prácticamente a todos los Android desde la versión 1.0 publicada en 2008. Empleando la segunda vulnerabilidad (en libstagefright) han encontrado métodos para aprovechar la vulnerabilidad de forma exitosa en dispositivos con Android 5.0 y posteriores,

Al contrario que el anterior ataque de Stagefright, que requerí­a el enví­o de un MMS ahora el atacante basta con dirigir a la ví­ctima a un sitio web que contenga el archivo multimedia malicioso. Lo peor es que el usuario ni siquiera necesitará abrir el archivo para verse afectado.

"La vulnerabilidad reside en el tratamiento de los metadatos del los archivos, por lo que simplemente la vista previa de una canción o video provocarí­a la vulnerabilidad". ("The vulnerability lies in the processing of metadata within the files, so merely previewing the song or video would trigger the issue").

Al igual que con el caso anterior, el anuncio se ha reportado de forma responsable. Drake y compañí­a han coordinado esfuerzos para que el equipo de Google corrija los fallos y estos estén a disposición de los fabricantes. El problema fue notificado al Equipo de Seguridad de Android el pasado 15 de agosto. Google respondió rápidamente y actuaron para corregir el problema.

Se ha asignado el CVE-2015-6602 al primer problema, sin embargo la segunda vulnerabilidad aun no tiene código CVE asignado. El equipo de Zimperium confirma que Google distribuirá la solución a estas vulnerabilidades en el próximo boletí­n de seguridad de Nexus que se publicará la semana que viene.

A pesar de todo, las últimas reflexiones de la anterior una-al-dí­a siguen siendo totalmente válidas. Algunos de los fabricantes propagarán rápidamente las actualizaciones pertinentes para sellar las grietas. Otros, como es de conocido sufrimiento, tardarán un poco más y otros no llegarán nunca.



Fuente: hispasec.com



pie.png

CERT-PY | Centro de Respuestas a Incidentes Cibernéticos
Ministerio de Tencnologí­as de la Información y Comunicación (MITIC)

Avda. Gral. Santos c/ Concordia | Telefono: (595 21) 217-9000
República del Paraguay

80x15.png

Versión del Template 1.11