martes, 28 de julio de 2015

Agujero de seguridad en Android permitiría ataques mediante mensajes multimedia (MMS)

Smartphones operados con Android pueden ser hackeados vía MMS.
Publicado en Diario TI.

La mayoría de los teléfonos operados con el sistema operativo móvil Android han estado expuestos a ataques realizados mediante mensajes multimedia (MMS) especialmente diseñados. La intrusión sólo requiere conocer el número telefónico de la víctima.

Logo de Andrioid. Imagen de Google
Visto en Wikipedia
Diario TI - La empresa de seguridad informática Zimperium reveló el lunes 27 de julio lo que a su juicio es “la peor vulnerabilidad descubierta para Android”. El agujero de seguridad radica en una biblioteca multimedia denominada Stagefright, que puede ser explotada mediante archivos multimedia especialmente diseñados e incluidos, por ejemplo, en MMS enviados al dispositivo.

La explotación de esta vulnerabilidad no requiere interacción por parte del usuario. Asimismo, el intruso puede utilizar otros métodos que le permiten ocultar la recepción del mensaje MMS frente al usuario, borrándolo antes que éste lo detecte. Es decir, el ataque puede ser realizado sin que el usuario siquiera se percate. De igual modo, los intrusos pueden utilizar otros vectores de ataque que también implican el uso de archivos multimedia, según ha revelado Zimperium.

Por ahora, Zimperium ha proporcionado pocos detalles sobre las vulnerabilidades, que en la práctica parecen ser siete distintos agujeros de seguridad, todos contenidos en la misma biblioteca. La empresa anuncia nuevos detalles para los eventos de seguridad Black Hat USA y DEF CON 23, a realizarse la próxima semana.

Lo que se sabe hasta ahora


La información aportada por Zimperium indica que Stagefright es una biblioteca basada en C++, incorporada con Android 2.2 (Froyo). Las versiones 4.1 (Jelly Bean) y más recientes contienen una serie de medidas que debilitan la explotación de vulnerabilidades. A pesar de ello, no está claro si estas medidas pueden contener o neutralizar los ataques Stagefrigth.

Joshua Drake, director de investigación científica de Zimperium zLabs, declaró a la publicación ThreatPost que, para el caso de algunos dispositivos, Stagefright proporciona acceso al gestor de grupos de sistema, que tiene privilegios prácticamente a nivel root. “El sistema ejecuta distintas funciones. Hace posible vigilar las comunicaciones del dispositivo y hacer muchas cosas siniestras”, declaró Drake, agregando que Android aplica una gestión de grupo que hace posible para Stagefright conectarse a Internet. “Yo preferiría que un servicio que realiza procesos arriesgados no tenga acceso a Internet”, dijo el experto, a cuyo juicio el sistema de procesamiento de meta datos en la biblioteca es “agresivo y promiscuo”.

Zimperium informa que Google ha sido informada de las vulnerabilidades, y que estas ya han sido eliminadas, al menos en el código fuente de versiones internas, y en el marco de Android Open Source Project. Sin embargo, esto no sirve de mucho para la mayoría de los propietarios de dispositivos operados con Android, a menos que también los fabricantes instalen los parches mediante actualizaciones OTA (Over The Air).

Google, por su parte, comentó el tema a la publicación Fortune, señalando que los parches ya están a disposición de los socios comerciales del ecosistema Android, mediante Open Handset Alliance, y que, por lo tanto, ya pueden ser instalados en todo tipo de dispositivos.

Sin embargo, según Zimperium, la experiencia ha demostrado que los usuarios de dispositivos más antiguos, o más económicos, no reciben estas actualizaciones de seguridad, o deben esperar considerablemente antes de poder instalarlas. / Publicado en Diario TI.--

Actualización: 29/07/2015
  • Drake y el codiciado tesoro del androide. Hoy traemos a la palestra una de esas noticias que asustan. Si pudiéramos apostarnos en la puerta de una redacción de noticias y echar un vistazo adentro veríamos a gente correr por los pasillos, timbres de teléfono sonando al unísono en una desesperante orquestación y el ruido furioso de una tormenta de teclas de plástico que estarán siendo golpeadas impunemente al son de unos tambores inexistentes. Casi podemos oler la mancha de café derramada sobre el borrador de un artículo sacrificado, en el que se describe con inusitado detalle, la cría y doma del escarabajo sumerio en tiempos de Uruk. Benditos los tiempos de Uruk murmura su autor mientras escribe en una nueva página en blanco: "Millones de teléfonos Android cuentan con desesperación los días antes de que llegue su Apocalipsis". Por David García, para Una-al.día/Hispasec.--

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

No hay comentarios.:

Publicar un comentario

Antes de colocar un comentario tenga en cuenta que no se permitirán comentarios que:
- sean anónimos y/o posean sólo un nickname.
- no estén vinculados a una cuenta.
- posean links promocionando páginas y/o sitios
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.

Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, abusivos, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.