Malas noticias para el sistema operativo móvil de Google. Android suele ser noticia -más a menudo de lo que sus responsables desearían- debido a nuevas vulnerabilidades y fallos de seguridad. Pero esta vez están atravesando por la que puede ser una de las peores crisis de seguridad de su historia. El nuevo Heartbleed para Android.

La compañía especializada en seguridad móvil Zimperium ha alertado de un peligroso fallo de seguridad, que podría ser el mayor encontrado en Android hasta la fecha, ya que afecta al 95% de los usuarios. Teniendo en cuenta que actualmente es el sistema operativo más usado en el mundo, estamos hablando de la inquietante cifra de más de 950 millones de dispositivos. Los atacantes pueden ejecutar código de forma remota, lo único que necesita saber es el número de teléfono de la víctima.

 

El investigador de la firma Joshua Drake, ha sido el responsable de este descubrimiento, que se ha dado a conocer a través del blog de la compañía.

El fallo de seguridad se encuentra concretamente en la librería Stagefright, una biblioteca que permite procesar, grabar y reproducir archivos multimedia y PDF.

Según afirma Drake, autor de libros como Android Hackers Handbook, lo más peligroso de este fallo de seguridad es la simplicidad de su ejecución, que permite a cualquier atacante llegar a sus víctimas de forma muy sencilla. Tan solo es necesario el envío de un mensaje, y ni siquiera es necesario que la víctima lo abra o interaccione con él.

Vulnerabilidad Stagefright Android

La firma de seguridad Zimperium ha facilitado esta secuencia de capturas en las que se observa el método del ataque.

Los atacantes tan sólo necesitan el número de teléfono de la víctima, con el cual pueden ejecutar código de forma remota mediante un archivo enviado a través de un MMS. Un mensaje que incluso el receptor podría no llegar a ver, porque podría ser borrado por el atacante antes de ser abierto, la víctima tan sólo vería la notificación.

Estas vulnerabilidades son extremadamente peligrosas, señala Drake, porque no requieren ninguna interacción por parte de la víctima para ser explotadas.  Al contrario que ocurre con el phishing, por ejemplo, en el que la víctima tiene que abrir un archivo o un link enviado por el atacante.

Este ataque puede ser llevado a cabo sin que la víctima notase absolutamente nada, mientras duerme. Antes de levantarte; el atacante habrá eliminado cualquier rastro, y continuarás tu día como si nada… pero con un móvil “troyanizado”.

Android, y todos los dispositivos derivados que incluyan la versión 2.2 son vulnerables. Los dispositivos con versiones anteriores a Jelly Bean, que suponen el 11% del total, son los que más riesgo corren debido a una inadecuada mitigación de exploits.

“Si Heartbleed de la era de PC te pone los pelos de punta… esto es mucho peor”, advierte Drake en su blog. El investigador responsable del descubrimiento presentará este estudio en Black Hat el próximo 5 de agosto. 

La compañía ha alertado a Google, que ya ha distribuido parches. Pero en opinión de la firma de seguridad, y considerando la gravedad de la vulnerabilidad, es sólo el principio de un proceso que puede tardar mucho tiempo en implementarse.

About Author

Monica Valle

Periodista especializada en tecnología y ciberseguridad. Presentadora del programa sobre seguridad informática y tecnología Mundo Hacker. @monivalle

5 comentarios

  1. Querida MONICA VALLE, en la nota no decis qué es el virus.. qué hace? La verdad que parece de esas notas sensacionalistas para asustar a la gente. Como si fuera una nota del día de los inocentes.

    • Monica Valle
      Monica Valle on

      Estimado Leandro. En ningún caso pretendemos asustar, muy al contrario, nuestra intención es informar y concienciar sobre la importancia de la seguridad. Como explicamos, no se trata de un virus, sino una vulnerabilidad de Android, que permite a un atacante tomar el control de un dispositivo. Podrás encontrar más información en el análisis realizado por la firma de seguridad que menciono en el post, te dejo aquí de nuevo el enlace: http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/
      Gracias por tu comentario, un saludo.

  2. Espero que con estas noticias las empresas ( Directivos ) tomen más en serio la seguridad de la Información, y asignen presupuestos para la gestión global e integral de la protección de su información,

Deja un comentario