Un SMS podría ser suficiente para hackear tu Android

Android es un sistema operativo de código abierto que poco a poco ha ido ganando mercado y se ha convertido, junto a IOS en el sistema operativo móvil más usado a nivel mundial. Según se estima, más de 950 millones de personas lo usan ya sea en una Tablet o en un Smartphone, y hasta dispositivos como GPS y reproductores de música se benefician de este sistema.

Una de las principales características de este S.O. es precisamente lo que hoy se convierte en su principal debilidad. Es un sistema muy personalizable, por lo que los fabricantes modifican el sistema hasta hacerlo único de la marca. Por ejemplo, Samsung modifica el sistema a tal punto, que muchas características quedan tan enterradas en el fondo que no nos percatamos de ellas.

Esto ha sido debatido con bastante fuerza entre los fabricantes y Google, su casa desarrolladora, pues sienten que se desvirtúa la esencia del sistema operativo Android. Pero, además de esto, pueden ocasionar fallos como el que hoy te comentamos.

En Abril de este año, Google fue notificado de una vulnerabilidad presente en todos los sistemas Android desde 2.2 en adelante que puede permitir a un atacante tomar control de un dispositivo que funcione con Andrioid con el simple envío de un SMS especialmente diseñado. Bueno, específicamente un MMS diseñado para hacer uso de Stagefright, una herramienta de reproducción multimedia integrada en el sistema operativo.

Dependiendo de la aplicación que uses para la gestión de tus mensajes, puede que ni siquiera notes que recibiste un mensaje extraño, pues, por ejemplo, Hangouts descifra y ejecuta el código inclusive antes de que se muestre una notificación, y el atacante puede inclusive solicitar el borrado del mensaje luego de la infección, por lo que jamás notarás que fuiste infectado.

En realidad, se trata de seis vulnerabilidades de ejecución remota de código, que además pueden ser usadas para inyectar otras vulnerabilidades como algunas de escala de privilegios, por lo cual el atacante puede hacerse con el control completo del dispositivo.

Joshua Drake de Zimperium zLabs, fue quien descubrió y envió estos bugs a Google para su corrección entre el 9 de Abril y el 4 de mayo, y para el 8 de Mayo, Google confirmó que los parches estaban listos y su distribución estaba planificada. En total, se corrigieron siete vulnerabilidades graves en Android. Hasta aquí todo bien.

Lo preocupante del asunto es que, debido a la cadena de distribución de actualizaciones, cada fabricante debe enviar el fix por su cuenta a cada dispositivo de su marca, y según informan en FORBES, los fabricantes más reconocidos, como HTC, Lenovo, Motorola, Samsung y Sony, fueron contactados para solicitar la fecha de la distribución de las actualizaciones a sus dispositivos y a la fecha de hoy, aun no se tiene respuesta.

Lamentablemente, más del 95% de los usuarios de Android se encuentran expuestos, y aunque no se han reportado casos de explotación "in-the-wild", la liberación de las vulnerabilidades puede provocar que los cibercriminales empiecen rápidamente a aprovecharse de esto para robar datos, correos, y en el peor de los casos, SMS de suscripción a sitios pagos.

Igualmente, los detalles serán expuestos en las conferencias de seguridad DefCon 23 y Black Hat, que tendrá lugar entre el 1 y el 9 de Agosto. Por lo pronto, recomendamos la desactivación de MMS para estar un poco más protegidos. Igualmente, ten cuidado de los sitios desconocidos, las redes abiertas de los Cafés y hoteles.

Esperemos que los fabricantes no se olviden de sus usuarios y que pronto se le ponga fin a todo el rollo de la distribución de las actualizaciones, ya que los principales afectados son los clientes que tienen que esperar mucho tiempo antes de que este tipo de errores sea corregido.

Fuente: Wired

Curioso, Apasionado por la ciencia, investigador nato. CEO, Editor y Redactor en ZonaGeek.Net.