Una serie de nuevas vulnerabilidades para Android podrían permitir a atacantes remotos comprometer los dispositivos afectados simplemente enviándoles un mensaje multimedia malicioso (MMS). Las vulnerabilidades representan una amenaza para los usuarios de Android, ya que, en la mayoría de los casos, la víctima sólo tiene que mirar el mensaje malicioso para detonar un exploit.
Los siete son conocidos colectivamente como Google Stagefright Media Playback Engine Multiple Remote Code Execution Vulnerabilities (CVE - 2015-1538 , CVE - 2015-1539 , CVE - 2015-3824 , CVE - 2.015-3.826 , CVE - desde 2015 hasta 3827 , CVE- 2015-3828 y CVE - 2.015-3.829). Las vulnerabilidades afectan un componente de Android conocido como Stagefright, que es responsable del manejo de la reproducción multimedia.
Una liberación exitosa de cualquiera de las siete vulnerabilidades podría proveer al atacante de capacidades de ejecución de código remoto; esto podría permitirle instalar malware en el dispositivo y robar datos de áreas a las que se accede con permisos de Stagefright.
Symantec clasifica estas vulnerabilidades como críticas debido a la amenaza que representa la facilidad de propagación. Todo lo que un hacker tiene que hacer para explotar estas vulnerabilidades es enviar un mensaje multimedia especialmente diseñado (MMS) a cualquier dispositivo Android. La ejecución requiere poca o ninguna interacción de la víctima; en la mayoría de los casos, sólo debe abrir el mensaje MMS para activar el exploit. En algunas ocasiones, como cuando se envía un mensaje malicioso a través de Google Hangouts, el exploit se dispara una vez que se recibe el mensaje, antes de que la víctima reciba la notificación.
Las vulnerabilidades fueron descubiertas por el investigador de seguridad de Zimperium zLabs Joshua Drake, que notificó a Google acerca de ellos en dos etapas, en abril y mayo. Google creó un parche para las vulnerabilidades el 8 de mayo. En un comunicado enviado a la revista Forbes, Google dijo que la mayoría de los dispositivos Android, incluyendo los más nuevos, "tienen múltiples tecnologías que están diseñados para dificultar la infección". "Los dispositivos Android también incluyen una aplicación Sandbox, diseñada para proteger los datos del usuario y otras aplicaciones en el dispositivo”, dijo.
La gravedad de estas vulnerabilidades se vuelve mayor por el hecho de que, a pesar de la disponibilidad de un parche de Google, los usuarios están en riesgo hasta que los carriers y fabricantes desplieguen sus propios parches. Esto puede tomar semanas o meses, y muchos dispositivos antiguos no cuentan con un parche hecho para ellos.
Mitigación
Se recomienda a los usuarios de Android aplicar las actualizaciones de seguridad emitidas por el fabricante del soporte o del dispositivo a medida que estén disponibles.
Hasta que pueda usar el parche, tenga cuidado si recibe mensajes multimedia no solicitados y evite descargar o reproducir contenido multimedia enviado desde fuentes desconocidas.
Los usuarios de Android pueden deshabilitar la recuperación automática de los mensajes multimedia modificando la configuración, y el proceso es el mismo para Google Hangouts; esto proporcionará una mitigación parcial, pero no impedirá que las vulnerabilidades sean detonadas si un mensaje multimedia con formato incorrecto o malintencionado se descarga y se abre.
Figura 1. Recuperación automática de mensajes multimedia habilitados en la configuración. Desactive esta característica para la mitigación parcial.
Figura 2. Recuperación de mensajes multimedia automática en Google Hangouts. Desactive esta característica para la mitigación parcial.