El parche incompleto de Stagefright de Google deja a los usuarios de Android a merced de los hackers

Los investigadores descubren fallos en el parche a medio cocinar de Stagefright emitido por Google para smartphones y tabletas Android

Parece que el error Stagefright de Android se está convirtiendo en un verdadero dolor de cabeza para Google. ¡Arreglar el ‘error Stagefright’ en los dispositivos Android está tomando más tiempo del que Google podría haber esperado!

Hacia finales del mes pasado, cuando el investigador de seguridad, Joshua Drake, expuso los detalles de la vulnerabilidad Stagefright, Google fue lo suficientemente rápido para proporcionar los parches requeridos. Varios otros fabricantes y operadores de Android también se unieron para solucionar el problema en la mayoría de los dispositivos Android. Algunos de ellos también anunciaron que lanzarían parches mensuales que, de hecho, se establecieron como consecuencia del error Stagefright.

Sin embargo, parece que los parches emitidos por Google estaban a medio cocinar y se arreglaron con prisa. Los investigadores de Exodus Intelligence han descubierto algún fallo con uno de los parches que fue emitido por Google y dicen que bajo condiciones apropiadas, el dispositivo Android sigue siendo vulnerable al ataque Stagefright.

Han pasado alrededor de ocho días desde que Google, los fabricantes de Android y los operadores emitieron los parches apropiados para sus respectivos dispositivos. Después del despliegue del parche, los investigadores de Exodus Intelligence pudieron provocar con éxito un fallo del sistema en un dispositivo Android. Parece que el equipo de investigación utilizó un archivo mp4 correctamente codificado a través de MMS para atacar el teléfono.

Los investigadores enviaron un comunicado por correo electrónico diciendo: “El resumen es que la vulnerabilidad Stagefright sigue siendo explotable y el parche de 4 líneas que se implementó es defectuoso. Hemos podido provocar el fallo que aún afecta a más de 950 millones de dispositivos Android.”

En este momento no está claro si el error puede ser explotado solo para la ejecución de código o si también puede usarse para el apagado del sistema.

Por otro lado, tan pronto como Exodus informó del problema junto con el parche a Google, este inmediatamente hizo de código abierto el parche para la falla.

Google ha confirmado que ya ha enviado un segundo parche para el problema.

En un comunicado, Google dijo: “Ya hemos enviado la solución a nuestros socios para proteger a los usuarios, y Nexus 4/5/6/7/9/10 y Nexus Player recibirán la actualización OTA en la actualización de seguridad mensual de septiembre.”

Actualmente, no está confirmado si los teléfonos que no son Nexus también recibirán el segundo parche; sin embargo, parece que los dispositivos recibirán este nuevo parche empaquetado en el sistema de parches mensuales que se lanzará pronto, como ya fue confirmado anteriormente por Google, los fabricantes de Android y algunos operadores.

Por lo general, cada vez que se descubre un error o vulnerabilidad, debe haber un período de aviso estándar de 30 días, que daría tiempo suficiente a la empresa para comprender la falla y proporcionar un parche adecuado para mitigar el problema. Sin embargo, los investigadores de Exodus Intelligence revelaron el error bastante pronto y Google ha tenido menos de una semana para diseñar y desplegar el parche para la falla destacada.

Sin embargo, Exodus siente que la falla era parte de la divulgación de la vulnerabilidad Stagefright que ya se había informado a Google hace unos cuatro meses y, sorprendentemente, Google aún estaba utilizando un parche defectuoso. Por lo tanto, bajo el escenario actual, cuando hay una intensa conciencia pública sobre el ataque Stagefright, Exodus no pudo mantener el error en secreto.

Exodus agregó:

“Ha habido una cantidad desmesurada de atención centrada en el error. Creemos que probablemente no somos los únicos que hemos notado que es defectuoso. Otros pueden tener intenciones maliciosas.”

Sin embargo, Google ha enfatizado la importancia de sistemas de mitigación como la Aleatorización de Diseño de Espacio de Direcciones (ASLR) que está presente en los dispositivos Android. Ha emitido un comunicado que dice: “actualmente más del 90% de los dispositivos Android tienen habilitada una tecnología llamada ASLR, que protege a los usuarios de este problema.”

Bueno, por ahora, los usuarios de Android deben ser cuidadosos y estar alerta cada vez que abran mensajes recibidos de fuentes desconocidas. Consulte el análisis detallado de Stagefright y cómo se puede detener el ataque Stagefright mencionado en nuestro artículo anterior.