La empresa de seguridad informática Zimperium reveló el lunes 27 de julio lo que a su juicio es “la peor vulnerabilidad descubierta para Android”. El agujero de seguridad radica en una biblioteca multimedia denominada Stagefright, que puede ser explotada mediante archivos multimedia especialmente diseñados e incluidos, por ejemplo, en MMS enviados al dispositivo.
La explotación de esta vulnerabilidad no requiere interacción por parte del usuario. Asimismo, el intruso puede utilizar otros métodos que le permiten ocultar la recepción del mensaje MMS frente al usuario, borrándolo antes que éste lo detecte. Es decir, el ataque puede ser realizado sin que el usuario siquiera se percate. De igual modo, los intrusos pueden utilizar otros vectores de ataque que también implican el uso de archivos multimedia, según ha revelado Zimperium.
Por ahora, Zimperium ha proporcionado pocos detalles sobre las vulnerabilidades, que en la práctica parecen ser siete distintos agujeros de seguridad, todos contenidos en la misma biblioteca. La empresa anuncia nuevos detalles para los eventos de seguridad Black Hat USA y DEF CON 23, a realizarse la próxima semana.
Lo que se sabe hasta ahora
La información aportada por Zimperium indica que Stagefright es una biblioteca basada en C++, incorporada con Android 2.2 (Froyo). Las versiones 4.1 (Jelly Bean) y más recientes contienen una serie de medidas que debilitan la explotación de vulnerabilidades. A pesar de ello, no está claro si estas medidas pueden contener o neutralizar los ataques Stagefrigth.
Joshua Drake, director de investigación científica de Zimperium zLabs, declaró a la publicación ThreatPost que, para el caso de algunos dispositivos, Stagefright proporciona acceso al gestor de grupos de sistema, que tiene privilegios prácticamente a nivel root. “El sistema ejecuta distintas funciones. Hace posible vigilar las comunicaciones del dispositivo y hacer muchas cosas siniestras”, declaró Drake, agregando que Android aplica una gestión de grupo que hace posible para Stagefright conectarse a Internet. “Yo preferiría que un servicio que realiza procesos arriesgados no tenga acceso a Internet”, dijo el experto, a cuyo juicio el sistema de procesamiento de meta datos en la biblioteca es “agresivo y promiscuo”.
Zimperium informa que Google ha sido informada de las vulnerabilidades, y que estas ya han sido eliminadas, al menos en el código fuente de versiones internas, y en el marco de Android Open Source Project. Sin embargo, esto no sirve de mucho para la mayoría de los propietarios de dispositivos operados con Android, a menos que también los fabricantes instalen los parches mediante actualizaciones OTA (Over The Air).
Google, por su parte, comentó el tema a la publicación Fortune, señalando que los parches ya están a disposición de los socios comerciales del ecosistema Android, mediante Open Handset Alliance, y que, por lo tanto, ya pueden ser instalados en todo tipo de dispositivos.
Sin embargo, según Zimperium, la experiencia ha demostrado que los usuarios de dispositivos más antiguos, o más económicos, no reciben estas actualizaciones de seguridad, o deben esperar considerablemente antes de poder instalarlas.