Hace dos días se publicó la noticia de la vulnerabilidad más grave descubierta en Android desde su nacimiento. Los investigadores de la firma de seguridad en dispositivos móviles Zimperium, con Joshua J. Drake (@jduck) al frente, descubrieron esta vulnerabilidad en la librería Media Player de Android. Un simple mensaje de texto multimedia (MMS) con un video debidamente manipulado puede desencadenar una ejecución de código remoto y la pertinente infección con cualquier software de control remoto (R.A.T.).
Además ni tan siquiera es necesario que la víctima abra dicho mensaje, pues esta librería preprocesa el video nada más recibirlo desencadenando el ataque. Otras aplicaciones de mensajería como Hangouts también están afectadas. Ante la magnitud del problema los investigadores realizaron un Responsible Disclosure informando a Google antes de anunciar la notica para que diera solución con la respectiva actualización.
Mirando métricas los investigadores han encontrado que el 95% de los dispositivos Android que corren de las versiones 2.2 a la 5.1 incluidas son vulnerables a este fallo de seguridad. Vienen a ser unos 950 millones de dispositivos Android entre teléfonos y tablets.
El principal problema para solucionar esta vulnerabilidad es que a pesar de que Google ya haya liberado la actualización son los fabricantes (Samsung, Sony, etc) o en última instancia los operadores (Telefónica, Vodafone, etc) quienes tienen que aplicar dicha actualización en sus Android «precocinados». Es decir, dispositivos Android modificados por ellos. Se estima que al 50% de los dispositivos afectados nunca le llegará dicha actualización.
Independientemente de la actualización una manera de protegerse es deshabilitando la carga automática de MMS desde las diferentes aplicaciones que utilicen dicha función. Por ahora está claro que Android Messaging y Hangouts están afectados. En algunos casos que no uses estas aplicaciones no quiere decir que no estén activadas y por consiguiente fuera de peligro.
Fig1. Servicio Multimedia Android
La librería StageFright que da nombre a este bug contiene múltiples vulnerabilidades de corrupción de memoria permitiendo este ataque. Estas vulnerabilidades han sido asignadas con los siguientes CVE:
- CVE-2015-1538
- CVE-2015-1539
- CVE-2015-3824
- CVE-2015-3826
- CVE-2015-3827
- CVE-2015-3828
- CVE-2015-3829