A finales de julio de 2015, se identificaron varias vulnerabilidades en el componente multimedia libStageFright de Android. Denominada Stagefright, la vulnerabilidad pone en riesgo a millones de dispositivos Android al permitir la ejecución remota de código después de recibir un mensaje MMS, descargar un archivo de video o de abrir una página con contenido multimedia. Trend Micro descubrió dicha vulnerabilidad dentro de la librería Stagefright durante la época en la que podía virtualmente “matar” un dispositivo Android cuando se utilizaba.
Desde entonces Google ha distribuidos parches para resolver estas vulnerabilidades (y anunció que la compañía implementaría un programa regular de parcheo), pero al parecer aún existen varias que aún deben solucionarse. Los investigadores de NorthBit dieron a conocer un documento en el que se detalla la explotación Stagefright de la vulnerabilidad CVE-2015-3864. La vulnerabilidad, a la que se le ha bautizado como “Metaphor”, afecta a los dispositivos que utilizan las versiones 2.2 a 4.0 de Android, y es capaz de evadir ASLR en las versiones 5.0 a 5.1.
El documento describe cómo un dispositivo Android puede ser secuestrado. Primero, se engaña a la víctima para que visite una página maliciosa – y permanecer en la página – mientras la explotación se lleva a cabo. Enseguida, un archivo de video de la página fuerza una caída del mediaserver en el segundo plano, provocando que se reinicie. Después el Javascript de la página web espera que el mediaserver se reinicie para enviar la información del dispositivo al servidor del atacante. Con la información que se ha reunido, se envía al dispositivo otro archivo de video que contiene malware. Una vez que se ejecuta, el código le da al atacante el control del dispositivo, permitiéndole así espiar o robar información a través de él.
Si bien se espera que Google libere pronto un parche para solucionar las vulnerabilidades provocadas por Metaphor, no será lo suficientemente rápido. Incluso hoy los intentos por solucionar las vulnerabilidades de Stagefright que se descubrieron el año pasado no han sido suficientes, y hoy no será diferente. A los usuarios de los dispositivos afectados se les recomienda actualizar su software tan pronto esté disponible el parche.
Leave a Reply