Tabla de contenido:
- ¿Qué es Stagefright 2.0?
- ¿Se ve afectado mi teléfono o tableta?
- ¿Qué está haciendo Google al respecto?
- ¿Cómo me mantengo seguro hasta que llegue el parche para mi teléfono o tableta?
- ¿Es esto el fin del mundo?
Los últimos meses han estado llenos de incertidumbre en torno a una serie de problemas conocidos popularmente como Stagefright, un nombre ganado porque la mayoría de los problemas encontrados tienen que ver con libstagefright en Android. La empresa de seguridad Zimperium ha publicado lo que llaman Stagefright 2.0, con dos nuevos problemas relacionados con los archivos mp3 y mp4 que podrían manipularse para ejecutar código malicioso en su teléfono.
Esto es lo que sabemos hasta ahora y cómo mantenerse a salvo.
¿Qué es Stagefright 2.0?
Según Zimperium, un par de vulnerabilidades descubiertas recientemente hacen posible que un atacante presente un teléfono o tableta Android con un archivo que se parece a un MP3 o MP4, por lo que cuando el sistema operativo previsualiza los metadatos de ese archivo código malicioso. En el caso de un ataque de Man in the Middle o un sitio web creado específicamente para entregar estos archivos con formato incorrecto, este código podría ejecutarse sin que el usuario lo supiera.
Zimperium afirma haber confirmado la ejecución remota, y llamó la atención de Google el 15 de agosto. En respuesta, Google asignó CVE-2015-3876 y CVE-2015-6602 al par de problemas reportados y comenzó a trabajar en una solución.
¿Se ve afectado mi teléfono o tableta?
De una forma u otra, sí. CVE-2015-6602 se refiere a una vulnerabilidad en libutils, y como Zimperium señala en su publicación que anuncia el descubrimiento de esta vulnerabilidad, afecta a todos los teléfonos y tabletas Android desde Android 1.0. CVE-2015-3876 afecta a todos los teléfonos o tabletas con Android 5.0 y superior, y en teoría podría entregarse a través de un sitio web o un hombre en el medio del ataque.
SIN EMBARGO.
Actualmente no hay ejemplos públicos de esta vulnerabilidad que alguna vez se haya utilizado para explotar algo fuera de las condiciones de laboratorio, y Zimperium no planea compartir la vulnerabilidad de prueba de concepto que usaron para demostrar este problema a Google. Si bien es posible que alguien más pueda resolver esta vulnerabilidad antes de que Google emita un parche, con los detalles detrás de esta vulnerabilidad aún se mantiene en privado, es poco probable.
¿Qué está haciendo Google al respecto?
Según un comunicado de Google, la actualización de seguridad de octubre corrige estas dos vulnerabilidades. Estos parches se realizarán en AOSP y se implementarán para los usuarios de Nexus a partir del 5 de octubre. Es posible que los lectores con ojos de águila hayan notado que el Nexus 5X y el Nexus 6P que analizamos recientemente ya tenían instalada la actualización del 5 de octubre, por lo que si ordenó uno de esos teléfonos, su hardware llegará parcheado contra estas vulnerabilidades. La información adicional sobre el parche estará en Android Security Google Group el 5 de octubre.
En cuanto a los teléfonos que no son Nexus, Google proporcionó la Actualización de seguridad de octubre a los socios el 10 de septiembre, y ha estado trabajando con fabricantes de equipos originales y operadores para entregar la actualización lo antes posible. Si echa un vistazo a la lista de dispositivos parcheados en el último exploit Stagefright, tiene una imagen razonable de qué hardware se considera prioritario en este proceso.
¿Cómo me mantengo seguro hasta que llegue el parche para mi teléfono o tableta?
En el caso de que alguien realmente esté corriendo con un exploit Stagefright 2.0 y tratando de infectar a los usuarios de Android, lo que de nuevo es muy poco probable debido a la falta de detalles públicos, la clave para mantenerse a salvo tiene que ver con prestar atención a dónde está ' Estás navegando y a qué estás conectado.
Evite las redes públicas cuando pueda, confíe en la autenticación de dos factores siempre que sea posible y manténgase lo más alejado posible de sitios web sospechosos. Principalmente, material web de sentido común para mantenerse a salvo.
¿Es esto el fin del mundo?
Ni siquiera un poquito. Si bien todas las vulnerabilidades de Stagefright son realmente serias y deben tratarse como tales, la comunicación entre Zimperium y Google para garantizar que estos problemas se aborden lo antes posible ha sido fantástica. Zimperium ha llamado la atención sobre los problemas con Android, y Google ha intervenido para solucionarlo. En un mundo perfecto, estas vulnerabilidades no existirían, pero sí existen y se están abordando rápidamente. No puedo pedir mucho más que eso, dada la situación en la que estamos.