Stagefright 2.0 casi todos los Android vulnerables

Publicado el 02 octubre 2015 por Jesús Jiménez @zonageeknet

Vuelve el temido Stagefright recargado. Un investigador ha publicado dos nuevas vulnerabilidades que existen desde el nacimiento mismo de Android.

Hace un par de meses se publicó una vulnerabilidad de Android que afectaba a prácticamente cualquier dispositivo que usara Android. Solo bastaba un SMS malicioso para tomar el control del dispositivo y lo peor es que ni siquiera te darías cuenta, pues todo ocurre de manera silenciosa.

Google publicó un parche y se debatía sobre el tiempo en que los fabricantes tardarían en implementarlo. Afortunadamente, algunos de los fabricantes más reconocidos como Sony, Samsung o HTC respondieron rápidamente y se comprometieron a enviar actualizaciones de seguridad periódicas a los dispositivos de la marca para mantener a sus usuarios protegidos de este tipo de fallos.

Hace poco, Joshua Drake, el investigador que alertó sobre Stagefright la primera vez, ha hecho un nuevo descubrimiento: Stagefright ha vuelto.

Las nuevas fallas fueron encontradas en una librería llamada libutils, que existe desde los inicios de Android, y la segunda se encuentra en una nueva libraría que solo afecta a los dispositivos con Android 5.0 o superior llamada libstagefright la cual llama a libutils de una forma incorrecta. Un atacante podría usar un archivo MP3 o MP4 especialmente modificado para explotar la vulnerabilidad, que, al igual que en la primera versión de Stagefright, le daría el control total del equipo.

El caso de libutils preocupa particularmente a los investigadores ya que podría extenderse a otras áreas del sistema, ya que es usada en todo el ecosistema Android, y proponen revisar cada librería que llame a libutils individualmente para verificar si esta es llamada de una forma vulnerable.

Un portavoz de Google anunció que los parches fueron proporcionados a los fabricantes el 10 de Septiembre. Los parches serán distribuidos a los usuarios de Nexus, incluidos en la próxima actualización mensual de seguridad de Android programada para el 5 de octubre. Los parches fueron también, inadvertidamente, subidos a Open Source Project Android (ASOP), dijo Zuk Avraham, presidente y fundador de Zimperium.

Según indican los investigadores, Stagefright es una aplicación excesivamente privilegiada con acceso total al sistema en algunos dispositivos, lo que permite obtener privilegios similares a las aplicaciones con acceso root. Stagefright se utiliza para procesar una serie de formatos de medios comunes y se implementa en código nativo C ++, por lo que es relativamente fácil de explotar.

Esperemos que los fabricantes traten estos parches con la misma celeridad que la vez anterior. Finalmente, todos los dispositivos con Android son vulnerables, lo cual es un golpe duro para el ecosistema y si no actúan rápidamente, es posible que los usuarios empiecen a perder la confianza.

Fuente: SlashDot