La falla ocurre cuando alguna aplicación utiliza la biblioteca multimedia de Android

La falla ocurre cuando alguna aplicación utiliza la biblioteca multimedia de Android. Foto:Computerworld / IDGN

Descrición
¿Te sirvió esta noticia?:
Si (7)
No (9)

Móviles

Dispositivos Android en riesgo por nuevas fallas de seguridad

Computerworld / IDG

Vulnerabilidades descubiertas recientemente en la forma en que Android procesa los archivos pueden permitir a los atacantes comprometer dispositivos engañando a los usuarios para que visiten páginas web creadas de manera malintencionada.

Las debilidades pueden provocar la ejecución de un código remoto en casi todos los dispositivos que usan Android, desde la primera a la última versión del sistema operativo, según investigadores de la empresa de seguridad móvil Zimperium.

Los defectos están en la forma en que Android procesa los metadatos de archivos de audio MP3 y archivos de video MP4, y ocurren cuando el sistema Android u otra aplicación que utilice las bibliotecas multimedia de Android despliegan una vista previa de este tipo de archivos.

Los investigadores de Zimperium encontraron fallas de procesamiento multimedia similares, a principios de este año, en una biblioteca de Android llamada Stagefright, mismas que podrían haber sido empleadas incluso con el simple envío de un mensaje multimedia (MMS) a dispositivos Android de forma malintencionada.

Esos defectos provocaron un esfuerzo coordinado para la creación de parches de seguridad por parte de los fabricantes de dispositivos, algo que Adrian Ludwig, Ingeniero en jefe de Seguridad de Android, ha llamado “la más grande y unificada actualización de software a nivel mundial”.

Esta vulnerabilidad también provocó que Google, Samsung  y LG se comprometan a realizar actualizaciones mensuales de seguridad de ahora en adelante.

Uno de los defectos descubiertos recientemente se encuentra en el núcleo de la biblioteca Android llamados ‘libutils’ y afecta a casi todos los dispositivos que ejecutan versiones de Android anteriores a 5.0 (Lollipop). La vulnerabilidad puede ser explotada en Android Lollipop (5.0 - 5.1.1) mediante la combinación con otro error encontrado en la biblioteca Stagefright.

Los investigadores Zimperium refieren al nuevo ataque como Stagefright 2.0 y creen que afecta a más de mil millones de dispositivos.

Dado que el vector de ataque previo de MMS se cerró en las nuevas versiones de Google Hangouts y otras aplicaciones de mensajería, el método de explotación más directo de las últimas vulnerabilidades es a través de navegadores Web, dijeron los investigadores Zimperium.

Los atacantes podrían engañar a los usuarios a visitar sitios web que desencadenan la falla a través de enlaces en el correo electrónico y mensajes instantáneos o a través de anuncios maliciosos que aparecen en sitios web legítimos.

Los atacantes que estén en una posición para interceptar las conexiones a Internet de los usuarios, por ejemplo, en las redes inalámbricas abiertas o por medio de routers comprometidos, podrían inyectar la falla directamente en su tráfico Web sin cifrar.

Reproductores multimedia de terceros o aplicaciones de mensajería instantánea que se usen la biblioteca de Android para leer los metadatos de los archivos MP3 y MP4 también podrían ser utilizados como un medio de ataque, dijeron los investigadores.

Zimperium reportó las fallas a Google el 15 de agosto. La solución llegará el 5 de octubre, como parte de la nueva actualización mensual de seguridad de Android, dijo un representante de la empresa.

Los defectos anteriores de Stagefright llevaron a los investigadores a hacer pruebas en las bibliotecas de procesamiento multimedia de Android en busca de vulnerabilidades adicionales. Investigadores del proveedor de antivirus Trend Micro ya han encontrado y reportado varios problemas en estos componentes.

"A medida que más y más investigadores han explorado diversas vulnerabilidades que existen dentro de la biblioteca Stagefright y bibliotecas asociadas, esperamos ver más fallas en la misma zona", dijo Zimperium en su informe. "Muchos investigadores en la comunidad han dicho que Google respondió a los errores que informaron diciendo que eran duplicados o que ya los habían descubrieron internamente".

Zimperium planea actualizar su aplicación gratuita ‘Stagefright Detector’ con la detección de los defectos una vez que los parches estén disponibles.