El pasado julio saltó, incluso a los medios más generalistas, el anuncio de una nueva vulnerabilidad crítica en dispositivos Android. Bastaba recibir un MMS para lograr el control del dispositivo afectado, prácticamente el 90% de todos los Android. Por si fuera poco, y con millones de dispositivos aun por parchear, se acaban de anunciar dos nuevas vulnerabilidades, en la misma librería, que podrían permitir la ejecución de código remoto con solo previsualizar archivos MP3 o MP4.
Como continuación de los anteriores descubrimientos de vulnerabilidades en la librería Stagefright, el reconocido investigador Joshua J. Drake (@jduck) de la empresa Zimperium, vuelve a presentar un conjunto de vulnerabilidades que van a hacer temblar a más de un Android. Y sin necesidad de vibración.
Las nuevas vulnerabilidades, al igual que la anterior también residen en la librería Stagefright, por lo que de forma imaginativa han quedado bautizadas como Stagefright 2.0. Un conjunto de dos vulnerabilidades que se presentan al tratar archivos de audio MP3 o vídeo MP4 específicamente creados.
La primera vulnerabilidad, (en libutils) afecta prácticamente a todos los Android desde la versión 1.0 publicada en 2008. Empleando la segunda vulnerabilidad (en libstagefright) han encontrado métodos para aprovechar la vulnerabilidad de forma exitosa en dispositivos con Android 5.0 y posteriores,
Al contrario que el anterior ataque de Stagefright, que requería el envío de un MMS ahora el atacante basta con dirigir a la víctima a un sitio web que contenga el archivo multimedia malicioso. Lo peor es que el usuario ni siquiera necesitará abrir el archivo para verse afectado.
«La vulnerabilidad reside en el tratamiento de los metadatos del los archivos, por lo que simplemente la vista previa de una canción o video provocaría la vulnerabilidad«. («The vulnerability lies in the processing of metadata within the files, so merely previewing the song or video would trigger the issue«).
Al igual que con el caso anterior, el anuncio se ha reportado de forma responsable. Drake y compañía han coordinado esfuerzos para que el equipo de Google corrija los fallos y estos estén a disposición de los fabricantes. El problema fue notificado al Equipo de Seguridad de Android el pasado 15 de agosto. Google respondió rápidamente y actuaron para corregir el problema.
Se ha asignado el CVE-2015-6602 al primer problema, sin embargo la segunda vulnerabilidad aun no tiene código CVE asignado. El equipo de Zimperium confirma que Google distribuirá la solución a estas vulnerabilidadesen el próximo boletín de seguridad de Nexus que se publicará la semana que viene.
A pesar de todo, las últimas reflexiones de la anterior una-al-día siguen siendo totalmente válidas. Algunos de los fabricantes propagarán rápidamente las actualizaciones pertinentes para sellar las grietas. Otros, como es de conocido sufrimiento, tardarán un poco más y otros no llegarán nunca.
Más información:
una-al-dia (28/07/2015) Drake y el codiciado tesoro del androide
Experts Found a Unicorn in the Heart of Android
Zimperium zLabs is Raising the Volume: New Vulnerability Processing MP3/MP4 Media
Antonio Ropero
Twitter: @aropero
Deja una respuesta