Ayer comentamos sobre un malware diseñado para Android (RCSAndroid). Lamentablemente, tenemos que volver a hablar del sistema operativo de Google. Se ha descubierto una nueva vulnerabilidad con apodo «Stagefright», que permite controlar dispositivos Android sin levantar sospechas.
La novedad es que afecta potencialmente al 95% de los dispositivos Android del mercado, los que ejecutan la versión que va desde la 2.2 a la 5.1 (aproximadamente 950 millones).
En esta ocasión, han sido los expertos de la firma de seguridad Zimperium los que han anunciado el fallo. Así mismo, catalogan este problema como el peor defecto de Android en la historia del sistema operativo móvil (casi nada). Revelarán más detalles en la próxima BlackHat o DEFCON de este año.
Los atacantes pueden explotar el agujero mediante un solo mensaje de texto multimedia enviado a un dispositivo Android sin parchear.
Una vez que los atacantes hayan explotado con éxito la vulnerabilidad, que sería capaz de escribir código en el dispositivo móvil y robar datos de los usuarios, incluidos los archivos de audio, multimedia, fotografías almacenadas en las tarjetas SD. Los atacantes pueden controlar de forma remota el dispositivo, el acceso de audio desde el micrófono, la lectura de mensajes de correo electrónico, etc.
A diferencia de otros ataques en los que se emplea phishing o donde las víctimas necesitan abrir un archivo malicioso, app o similar, Stagefright puede ser activado incluso si las víctimas no están utilizando el terminal.
¿Hay Solución?
Google por su parte, no solo ha sido alertada, ya ha creado un parche y ha facilitado la información pertinente a los fabricantes. Sin embargo, la mayoría de las empresas que integran Android en sus terminales (Samsung, Sony, etc.) no han distribuido la solución a los clientes.
En definitiva, un dispositivo 100% seguro…imposible. Si con RCSAndroid los usuarios de Lollipop estaban tranquilos, con Stagefright (sin parche de los fabricantes) entra un poquito de miedo. Estaremos al tanto del mayor problema registrado en Android hasta la fecha.
