Los últimos meses han estado llenos de mucha incertidumbre en torno a una serie de cuestiones denominadas popularmente Miedo escénico, un nombre ganado porque la mayoría de los problemas encontrados tienen que ver con libstagefright en Android. La firma de seguridad Zimperium ha publicado lo que ellos llaman Stagefright 2.0, con dos nuevos problemas relacionados con los archivos mp3 y mp4 que podrían manipularse para ejecutar código malicioso en su teléfono.
Esto es lo que sabemos hasta ahora y cómo mantenerse a salvo.
¿Qué es Stagefright 2.0?
Según Zimperium, un par de vulnerabilidades recientemente descubiertas hacen posible que un atacante presente un teléfono Android o tableta con un archivo que se parece a un MP3 o MP4, de modo que cuando el sistema operativo obtenga una vista previa de los metadatos de ese archivo, ese archivo podría ejecutarse código malicioso. En el caso de un ataque Man in the Middle o un sitio web creado específicamente para entregar estos archivos mal formados, este código podría ejecutarse sin que el usuario lo sepa.
Zimperium afirma haber confirmado la ejecución remota y señaló esto a Google el 15 de agosto. En respuesta, Google asignó CVE-2015-3876 y CVE-2015-6602 al par de problemas informados y comenzó a trabajar en una solución.
¿Mi teléfono o tableta está afectado?
De una forma u otra, sí. CVE-2015-6602 se refiere a una vulnerabilidad en libutils, y como Zimperium señala en su publicación anunciando el descubrimiento de esta vulnerabilidad, afecta a todos los teléfonos Android y tableta que se remonta a Android 1.0. CVE-2015-3876 afecta a todos los teléfonos o tabletas con Android 5.0 y superior y, en teoría, podría entregarse a través del sitio web o del intermediario ataque.
SIN EMBARGO.
Actualmente no hay ejemplos públicos de esta vulnerabilidad que alguna vez se haya utilizado para explotar algo fuera del laboratorio. condiciones, y Zimperium no planea compartir el exploit de prueba de concepto que usaron para demostrar este problema a Google. Si bien es posible que alguien más pueda descubrir este exploit antes de que Google emita un parche, es poco probable que los detalles detrás de este exploit aún se mantengan en privado.
¿Qué está haciendo Google al respecto?
Según una declaración de Google, la actualización de seguridad de octubre aborda ambas vulnerabilidades. Estos parches se realizarán en AOSP y se implementarán para los usuarios de Nexus a partir del 5 de octubre. Los lectores con ojos de águila podrían haber notado que el Nexus 5X y el Nexus 6P que vimos recientemente ya tenían el 5 de octubre. actualización instalada, por lo que si realizó un pedido anticipado de uno de esos teléfonos, su hardware llegará parcheado contra estos vulnerabilidades. La información adicional sobre el parche estará en el Grupo de Google de seguridad de Android el 5 de octubre.
En cuanto a los teléfonos que no son Nexus, Google proporcionó la actualización de seguridad de octubre a los socios el 10 de septiembre y ha estado trabajando con los OEM y los operadores para entregar la actualización lo antes posible. Si observa la lista de dispositivos parcheados en el último exploit Stagefright, tiene una idea razonable de qué hardware se considera una prioridad en este proceso.
¿Cómo me mantengo seguro hasta que llegue el parche para mi teléfono o tableta?
En el caso de que alguien realmente esté corriendo con un exploit Stagefright 2.0 e intente infectar a los usuarios de Android, lo que nuevamente es muy poco probable debido Además de la falta de detalles públicos, la clave para mantenerse seguro tiene mucho que ver con prestar atención a dónde está navegando y a qué está conectado.
Evite las redes públicas cuando pueda, confíe en la autenticación de dos factores siempre que sea posible y manténgase lo más alejado posible de los sitios web dudosos. Principalmente, cosas web de sentido común para mantenerse a salvo.
¿Es esto el fin del mundo?
Ni siquiera un poquito. Si bien todas las vulnerabilidades de Stagefright son realmente graves y deben tratarse como tales, comunicación entre Zimperium y Google para garantizar que estos problemas se resuelvan lo más rápido posible ha sido fantástico. Zimperium ha llamado acertadamente la atención sobre los problemas con Android, y Google ha intervenido para solucionarlo. En un mundo perfecto, estas vulnerabilidades no existirían, pero existen y se están abordando rápidamente. No se puede pedir mucho más que eso, dada la situación en la que nos encontramos.