Tu smartphone Android puede ser hackeado solo por reproducir un video malicioso

¡Cuidado! Solo abrir un video en Android puede hackear tu smartphone

Más de mil millones de dispositivos que ejecutan versiones entre Android 7.0 Nougat y Android 9.0 Pie enfrentan una vulnerabilidad crítica de ejecución remota de código (RCE), informa The Hacker News.

La falla crítica de RCE (CVE-2019-2107) en cuestión reside en el marco de medios de Android que se utiliza para la reproducción de medios. La vulnerabilidad, si se explota, permite a un hacker lanzar un ataque remoto utilizando un archivo especialmente creado para ejecutar código arbitrario en el smartphone objetivo.

El atacante simplemente necesita alentar al usuario a reproducir un archivo de video malicioso especialmente diseñado a través del reproductor de video nativo de Android, o una aplicación de video de terceros que utilice el marco de medios de Android. Luego, puede con una carga útil, obtener un aumento de privilegios y luego el control total del dispositivo.

A principios de este mes, Google lanzó una actualización de seguridad para esta vulnerabilidad crítica.

“La vulnerabilidad más grave en esta sección [marco de medios] podría permitir a un atacante remoto, utilizando un archivo especialmente diseñado, ejecutar código arbitrario dentro del contexto de un proceso privilegiado”, describió Google la vulnerabilidad en su Boletín de Seguridad de Android de julio. Sin embargo, hay millones de smartphones Android que aún son vulnerables, ya que aún no han recibido la última actualización de seguridad .

Para empeorar las cosas, Marcin Kozlowski, un desarrollador de Android con sede en Alemania, ha subido una prueba de concepto para este ataque en GitHub, que hace posible bloquear dispositivos a través de un archivo de video. La PoC también incluye detalles sobre cómo realizar RCE en teléfonos LineageOS y Samsung.

Si bien la PoC (un video codificado en HEVC) compartida por Kozlowski solo bloquea el reproductor de medios, el investigador advierte que es posible ejecutar código arbitrario en dispositivos objetivo con un video correctamente preparado.

Lo que vale la pena señalar es que el ataque no funciona si tales videos maliciosos se reciben a través de plataformas de redes sociales como Twitter, WhatsApp, YouTube o Messenger, ya que estos servicios antes de enviar suelen comprimir videos y volver a codificar archivos de medios, lo que altera el código malicioso incrustado.

Relacionado - Las aplicaciones de Android están recopilando datos de usuarios incluso después de haber sido denegados permisos

Por lo tanto, se aconseja a los usuarios que eviten descargar y reproducir videos aleatorios de fuentes desconocidas o no confiables. También se recomienda a los usuarios que instalen la última actualización de seguridad de Android tan pronto como esté disponible un parche.