Anuncio

Una nueva vulnerabilidad de Android preocupa al mundo de la seguridad, y deja a su teléfono Android extremadamente vulnerable. El problema se presenta en forma de seis errores en un módulo de Android inocuo llamado Miedo escénico, que se utiliza para la reproducción de medios.

Los errores de StageFright permiten que un MMS malicioso, enviado por un hacker, ejecute código malicioso dentro del módulo StageFright. A partir de ahí, el código tiene una serie de opciones para obtener el control del dispositivo. A partir de ahora, algo así como 950 millones de dispositivos son vulnerables a esta vulnerabilidad.

Es, simplemente, la peor vulnerabilidad de Android en la historia.

Apoderamiento silencioso

Los usuarios de Android ya están cada vez más molestos por la violación, y por una buena razón. Un escaneo rápido de Twitter muestra a muchos usuarios furiosos apareciendo a medida que las noticias impregnan la web.

Por lo que escucho, incluso los dispositivos Nexus no han recibido un parche para #Miedo escénico. Tiene algun telefono? http://t.co/bnNRW75TrD

instagram viewer

- Thomas Brewster (@iblametom) 27 de julio de 2015

Parte de lo que hace que este ataque sea tan aterrador es que hay pocos usuarios que pueden hacer para protegerse contra él. Probablemente, ni siquiera sabrían que el ataque ha ocurrido.

Normalmente, para atacar un dispositivo Android, debe hacer que el usuario instale una aplicación maliciosa. Este ataque es diferente: el atacante simplemente necesitaría saber su número de teléfono y enviar un mensaje multimedia malicioso.

Según la aplicación de mensajería que use, es posible que ni siquiera sepa que llegó el mensaje. Por ejemplo: si sus mensajes MMS pasan Hangouts de Google de Andoid Cómo usar Google Hangouts en tu AndroidHangouts de Google+ es la respuesta de Google a las salas de chat. Puedes salir con hasta 12 personas usando video, audio y chat de texto, así como varias aplicaciones opcionales. Hangout está disponible en tu Android ... Lee mas , el mensaje malicioso podría tomar el control y ocultarse antes de que el sistema incluso alertara al usuario de que había llegado. En otros casos, el exploit podría no iniciarse hasta que el mensaje se vea realmente, pero la mayoría de los usuarios simplemente lo descartarían como inofensivo. texto no deseado Identifique números desconocidos y bloquee mensajes de texto de spam con Truemessenger para AndroidTruemessenger es una nueva aplicación fantástica para enviar y recibir mensajes de texto, y puede decirte quién es un número desconocido y bloquear el spam. Lee mas o un número equivocado

Una vez dentro del sistema, el código que se ejecuta en StageFright automáticamente tiene acceso a la cámara y al micrófono, así como a los periféricos bluetooth y a cualquier información almacenada en la tarjeta SD. Eso es bastante malo, pero (desafortunadamente) es solo el comienzo.

Mientras se implementa Android Lollipop una serie de mejoras de seguridad 8 maneras de actualizar a Android Lollipop hacen que su teléfono sea más seguroNuestros teléfonos inteligentes están llenos de información confidencial, entonces, ¿cómo podemos mantenernos a salvo? Con Android Lollipop, que tiene un gran impacto en el ámbito de la seguridad, con funciones que mejoran la seguridad en todos los ámbitos. Lee mas , la mayoría de los dispositivos Android son sigue ejecutando versiones anteriores del sistema operativo Una guía rápida para las versiones y actualizaciones de Android [Android]Si alguien te dice que está ejecutando Android, no está diciendo tanto como piensas. A diferencia de los principales sistemas operativos informáticos, Android es un sistema operativo amplio que cubre numerosas versiones y plataformas. Si te gustaria... Lee mas y son vulnerables a algo llamado "ataque de escalada de privilegios". Normalmente, las aplicaciones de Android son "caja de arena ¿Qué es un sandbox y por qué deberías jugar en uno?Los programas altamente conectivos pueden hacer mucho, pero también son una invitación abierta para que los hackers malos ataquen. Para evitar que las huelgas tengan éxito, un desarrollador tendría que detectar y cerrar cada hoyo en ... Lee mas ", Permitiéndoles acceder solo a aquellos aspectos del sistema operativo que se les ha otorgado permiso explícito para usar. Los ataques de escalada de privilegios permiten que el código malicioso "engañe" al sistema operativo Android para que le otorgue más y más acceso al dispositivo.

Una vez que el MMS malicioso haya tomado el control de StageFright, podría usar estos ataques para tomar el control total sobre dispositivos Android más antiguos e inseguros. Este es un escenario de pesadilla para la seguridad del dispositivo. Los únicos dispositivos totalmente inmunes a este problema son aquellos que ejecutan sistemas operativos anteriores a Android 2.2 (Froyo), que es la versión que introdujo StageFright en primer lugar.

Respuesta lenta

La vulnerabilidad StageFright fue descubierta originalmente en abril por Zimperium zLabs, un grupo de investigadores de seguridad. Los investigadores informaron el problema a Google. Google lanzó rápidamente un parche a los fabricantes; sin embargo, muy pocos fabricantes de dispositivos han implementado el parche en sus dispositivos. El investigador que descubrió el error, Joshua Drake, cree que alrededor de 950 millones de los aproximadamente mil millones de dispositivos Android en circulación son vulnerables a alguna forma de ataque.

¡Hurra! @BlackHatEvents Aceptó amablemente mi presentación para hablar sobre mi investigación sobre @Androide'StageFright! https://t.co/9BW4z6Afmg

- Joshua J. Drake (@jduck) 20 de mayo de 2015

Los propios dispositivos de Google, como el Nexus 6, se han parcheado parcialmente según Drake, aunque persisten algunas vulnerabilidades. En un correo electrónico a FORBES sobre el tema, Google aseguró a los usuarios que,

“La mayoría de los dispositivos Android, incluidos todos los dispositivos más nuevos, tienen múltiples tecnologías diseñadas para dificultar la explotación. Los dispositivos Android también incluyen un entorno limitado de aplicaciones diseñado para proteger los datos del usuario y otras aplicaciones en el dispositivo "

Sin embargo, esto no es mucho consuelo. Hasta Android Jellybean Los 12 mejores consejos de Jelly Bean para una nueva experiencia en tabletas GoogleAndroid Jelly Bean 4.2, incluido inicialmente en el Nexus 7, ofrece una excelente experiencia de tableta nueva que eclipsa las versiones anteriores de Android. Incluso impresionó a nuestro fanático residente de Apple. Si tienes un Nexus 7, ... Lee mas , el sandboxing en Android ha sido relativamente débil, y hay varios exploits conocidos que se pueden usar para solucionarlo. Es realmente crucial que los fabricantes implementen un parche adecuado para este problema.

¿Qué puedes hacer?

Desafortunadamente, los fabricantes de hardware pueden ser extremadamente lentos para implementar este tipo de parches de seguridad críticos. Sin duda vale la pena ponerse en contacto con el departamento de atención al cliente del fabricante de su dispositivo y solicitar un presupuesto sobre cuándo estarán disponibles los parches. La presión pública probablemente ayudará a acelerar las cosas.

Por parte de Drake, planea revelar el alcance total de sus hallazgos en DEFCON, una conferencia de seguridad internacional que se lleva a cabo a principios de agosto. Con suerte, la publicidad adicional estimulará a los fabricantes de dispositivos a lanzar actualizaciones rápidamente, ahora que el ataque es de conocimiento común.

En una nota más amplia, este es un buen ejemplo de por qué la fragmentación de Android es una pesadilla de seguridad.

De nuevo es un desastre que #Androide las actualizaciones están en manos de los fabricantes de hardware. Debería dañar a Android en serio. #Miedo escénico

- ¿Miguel? (@mipesom) 27 de julio de 2015

En un ecosistema bloqueado como iOS, un parche para esto podría eliminarse en horas. En Android, puede llevar meses o años actualizar todos los dispositivos debido al enorme nivel de fragmentación. Estoy interesado en ver qué soluciones surgirá Google en los próximos años para comenzar a sacar estas actualizaciones vitales de seguridad de las manos de los fabricantes de dispositivos.

¿Eres un usuario de Android afectado por este problema? ¿Preocupado por su privacidad? ¡Háganos saber sus pensamientos en los comentarios!

Credito de imagen: Teclado iluminado por Wikimedia

Escritor y periodista con sede en el suroeste, Andre está garantizado para permanecer funcional hasta 50 grados centígrados, y es resistente al agua hasta una profundidad de doce pies.