Ataque Stagefright: Solo se necesita un único mensaje de texto para hackear un smartphone Android

Ataque Stagefright, la Madre de todas las Vulnerabilidades de Android pone en riesgo a 950 millones de smartphones

Más del 95 por ciento de los smartphones Android en circulación, o aproximadamente 950 millones de smartphones, pueden ser vulnerables a un ataque de hackeo único pero crítico llamado Stagefright.

Joshua Drake de Zimperium Mobile Security descubrió seis + una vulnerabilidades críticas en el motor de reproducción de medios nativo llamado Stagefright. Él llama a estas debilidades ‘La Madre de todas las Vulnerabilidades de Android’.

Drake dijo que las vulnerabilidades pueden ser explotadas enviando un único mensaje de texto multimedia a un smartphone Android sin parches. Aunque la explotación es mortal, en algunos casos, donde los teléfonos analizan el código de ataque antes de que se abra el mensaje, las explotaciones son silenciosas y el usuario tendría pocas posibilidades de defender sus datos.

Stagefright es una herramienta nativa de reproducción de medios utilizada por Android y todas estas debilidades residen en ella. Drake afirma que todos son errores de “ejecución remota de código”, permitiendo a los hackers maliciosos infiltrarse en los dispositivos y exfiltrar datos privados.

Según Drake, todo lo que el hacker potencial necesita hacer es enviar las explotaciones a los números de teléfono móvil que podrían ser afectados. Desde allí, podrían enviar un exploit empaquetado en un mensaje multimedia (MMS) de Stagefright, lo que les permitiría escribir código en el dispositivo y robar datos de secciones del teléfono que pueden ser alcanzadas con los permisos de Stagefright.

Una vez que se explota la vulnerabilidad, los hackers pueden acceder a casi cualquier cosa, incluyendo grabaciones de audio y video, espiando fotos almacenadas en tarjetas SD. Incluso la humilde radio Bluetooth también puede ser hackeada a través de Stagefright.

Dependiendo de la aplicación MMS en uso, la víctima podría nunca saber que incluso recibió un mensaje.

Las vulnerabilidades son tan críticas que enviar un código de exploit a los Google Hangouts de la víctima “activaría instantáneamente el exploit incluso antes de que el usuario pueda mirar el smartphone o antes de que incluso reciba la notificación”.

Otro aspecto interesante de la explotación es que una vez que ha sido entregada, el hacker puede eliminar el mensaje antes de que el usuario haya sido alertado sobre él, haciendo que los ataques sean completamente silenciosos.

Drake dará la divulgación completa junto con la Prueba de Concepto en Def Con el 6 de agosto. Él declaró a Forbes que había informado sobre los errores en abril de este año y Google ha enviado los parches a sus socios de fabricación de smartphones.

Drake afirmó que un total de siete vulnerabilidades habían sido enviadas a Google antes del 9 de abril de 2015 y Google le había informado que había programado parches para el 8 de mayo de 2015. Además, Google aseguró a Drake que todas las futuras versiones de Android se lanzarían pre-parcheadas contra estas vulnerabilidades.

Sin embargo, como es el caso con cualquier actualización de smartphone Android, los fabricantes de smartphones rara vez transmiten los parches a los usuarios finales del smartphone. Particularmente los fabricantes más pequeños que fabrican smartphones Android localizados. Como tal, se puede asumir con seguridad que casi 950 millones de smartphones y tabletas Android en circulación pueden ser explotables utilizando la vulnerabilidad Stagefright.

“Todos los dispositivos deben asumirse como vulnerables”, dijo Drake a Forbes. Drake dice que solo los teléfonos Android por debajo de la versión 2.2 no están afectados por esta vulnerabilidad particular.

“He realizado muchas pruebas en un Galaxy Nexus con Ice Cream Sandwich… donde el MMS predeterminado es la aplicación de mensajería Messenger. Ese no se activa automáticamente, pero si miras el MMS, se activa, no tienes que intentar reproducir el medio ni nada, solo tienes que mirarlo”, agregó Drake.

En una declaración enviada por correo electrónico a Forbes, Google agradeció a Drake por informar sobre los problemas y proporcionar parches, señalando que sus socios fabricantes deberían implementarlos en las próximas semanas y meses.

“La mayoría de los dispositivos Android, incluidos todos los dispositivos más nuevos, tienen múltiples tecnologías diseñadas para hacer que la explotación sea más difícil. Los dispositivos Android también incluyen un sandbox de aplicaciones diseñado para proteger los datos del usuario y otras aplicaciones en el dispositivo”, dijo un portavoz. El portavoz de Google se comunicó con Techworm y dijo que estarán impulsando parches adicionales para los dispositivos Nexus la próxima semana antes del inicio de DefCon 2015. El correo también indica que Google ya había emitido una solución a los fabricantes de smartphones, sin embargo, el correo no aclaró qué fabricantes de smartphones habían emitido parches a los usuarios finales. El correo dice “Esta vulnerabilidad fue identificada en un entorno de laboratorio en dispositivos Android más antiguos, y hasta donde sabemos, nadie ha sido afectado. Tan pronto como nos enteramos de la vulnerabilidad, tomamos medidas inmediatas y enviamos una solución a nuestros socios para proteger a los usuarios. Como parte de una actualización de seguridad programada regularmente, planeamos impulsar más salvaguardias para los dispositivos Nexus a partir de la próxima semana. Y, lo publicaremos como código abierto cuando los detalles sean hechos públicos por el investigador en BlackHat.”

DefCon 2015 comienza en la primera semana de agosto de 2015 y esperamos que muchas vulnerabilidades sean hechas públicas durante el curso de la conferencia de hacking más importante del mundo. También estamos buscando comentarios de Google sobre la recientemente revelada vulnerabilidad Silent Attack por Trend MicroLabs, que hace que casi 500 millones de smartphones Android sean vulnerables.