Android tiene un error de seguridad masivo en un componente conocido como "Stagefright". El solo hecho de recibir un mensaje MMS malicioso puede hacer que su teléfono se vea comprometido. Es sorprendente que no hayamos visto un gusano que se propague de un teléfono a otro como lo hacían los gusanos en los primeros días de Windows XP; todos los ingredientes están aquí.
En realidad, es un poco peor de lo que parece. Los medios se han centrado en gran medida en el método de ataque MMS, pero incluso los videos MP4 incrustados en páginas web o aplicaciones podrían comprometer su teléfono o tableta.
Por qué el defecto Stagefright es peligroso: no es solo MMS
Algunos comentaristas han llamado a este ataque "Stagefright", pero en realidad es un ataque a un componente de Android llamado Stagefright. Este es un componente de reproductor multimedia en Android. Tiene una vulnerabilidad que puede explotarse, de forma más peligrosa a través de un MMS, que es un mensaje de texto con componentes multimedia integrados.
Muchos fabricantes de teléfonos Android han optado imprudentemente por otorgar permisos al sistema Stagefright, que es un paso por debajo del acceso de root. La explotación de Stagefright permite a un atacante ejecutar código arbitrario con permisos de "medios" o "sistema", dependiendo de cómo esté configurado el dispositivo. Los permisos del sistema le darían al atacante básicamente un acceso completo a su dispositivo. Zimperium, la organización que descubrió e informó el problema, ofrece más detalles .
Las aplicaciones típicas de mensajería de texto de Android recuperan automáticamente los mensajes MMS entrantes. Esto significa que podría verse comprometido si alguien le envía un mensaje a través de la red telefónica. Con su teléfono comprometido, un gusano que usa esta vulnerabilidad podría leer sus contactos y enviar mensajes MMS maliciosos a sus contactos, propagándose como la pólvora como lo hizo el virus Melissa en 1999 usando Outlook y contactos de correo electrónico.
Los informes iniciales se centraron en MMS porque era el vector potencialmente más peligroso que Stagefright podía aprovechar. Pero no es solo MMS. Como Trend Micro señaló , Esta vulnerabilidad se encuentra en el componente "mediaserver" y un archivo MP4 malicioso incrustado en una página web podría explotarla; sí, simplemente navegando a una página web en su navegador web. Un archivo MP4 incrustado en una aplicación que quiera explotar su dispositivo podría hacer lo mismo.
¿Su teléfono inteligente o tableta es vulnerable?
Su dispositivo Android probablemente sea vulnerable. El noventa y cinco por ciento de los dispositivos Android en la naturaleza son vulnerables a Stagefright.
Para comprobarlo, instale el Aplicación Stagefright Detector de Google Play. Esta aplicación fue creada por Zimperium, que descubrió e informó la vulnerabilidad Stagefright. Verificará su dispositivo y le dirá si Stagefright ha sido parcheado en su teléfono Android o no.
Cómo prevenir los ataques de Stagefright si eres vulnerable
Hasta donde sabemos, las aplicaciones antivirus de Android no te salvarán de los ataques Stagefright. No necesariamente tienen suficientes permisos del sistema para interceptar mensajes MMS e interferir con los componentes del sistema. Google tampoco puede actualizar el componente de servicios de Google Play en Android Para corregir este error, Google suele emplear una solución de retazos cuando aparecen agujeros de seguridad.
Para realmente evitar verse comprometido, debe evitar que la aplicación de mensajería que elija descargue y lance mensajes MMS. En general, esto significa deshabilitar la configuración "Recuperación automática de MMS" en su configuración. Cuando recibe un mensaje MMS, no se descargará automáticamente; tendrá que descargarlo tocando un marcador de posición o algo similar. No correrá ningún riesgo a menos que elija descargar el MMS.
No deberías hacer esto. Si el MMS es de alguien que no conoce, ignórelo definitivamente. Si el MMS es de un amigo, es posible que su teléfono se haya visto comprometido si un gusano comienza a despegar. Es más seguro no descargar nunca mensajes MMS si su teléfono es vulnerable.
Para deshabilitar la recuperación automática de mensajes MMS, siga los pasos apropiados para su aplicación de mensajería.
- Mensajería (integrado en Android): abra Mensajería, toque el botón de menú y toque Configuración. Desplácese hacia abajo hasta la sección "Mensajes multimedia (MMS)" y desmarque "Recuperar automáticamente".
- Mensajero (de Google): abre Messenger, toca el menú, toca Configuración, toca Avanzado y desactiva "Recuperación automática".
- Hangouts (de Google): abre Hangouts, toca el menú y navega hasta Configuración> SMS. Desmarque "Recuperar SMS automáticamente" en Avanzado. (Si no ve las opciones de SMS aquí, su teléfono no usa Hangouts para SMS. Inhabilite la configuración en la aplicación de SMS que usa).
- Mensajes (de Samsung): abre Mensajes y navega a Más> Configuración> Más configuraciones. Toque Mensajes multimedia y desactive la opción "Recuperar automáticamente". Esta configuración puede estar en un lugar diferente en diferentes dispositivos Samsung, que usan diferentes versiones de la aplicación Mensajes.
Es imposible crear una lista completa aquí. Simplemente abra la aplicación que usa para enviar mensajes SMS (mensajes de texto) y busque una opción que deshabilite la "recuperación automática" o la "descarga automática" de los mensajes MMS.
Advertencia : Si eliges descargar un mensaje MMS, sigues siendo vulnerable. Y, como la vulnerabilidad Stagefright no es solo un problema de mensajes MMS, esto no lo protegerá completamente de todo tipo de ataque.
¿Cuándo recibirá un parche su teléfono?
RELACIONADO: Por qué su teléfono Android no recibe actualizaciones del sistema operativo y qué puede hacer al respecto
En lugar de intentar solucionar el error, sería mejor si su teléfono acabara de recibir una actualización que lo solucionó. Desafortunadamente, la situación de la actualización de Android es actualmente una pesadilla. Si tiene un teléfono insignia reciente, probablemente pueda esperar una actualización en algún momento, con suerte. Si tiene un teléfono antiguo, especialmente un teléfono de gama baja, es muy probable que nunca reciba una actualización .
- Dispositivos Nexus : Google ha lanzado actualizaciones para Nexus 4, Nexus 5, Nexus 6, Nexus 7 (2013), Nexus 9 y Nexus 10. Al parecer, el Nexus 7 original (2012) ya no es compatible y no se actualizará
- Samsung : Sprint ha comenzado a lanzar actualizaciones para Galaxy S5, S6, S6 Edge y Note Edge. No está claro cuándo otros operadores están publicando estas actualizaciones.
Google también le dijo a Ars Technica que "los dispositivos Android más populares" recibirían la actualización en agosto, que incluye:
- Samsung : Galaxy S3, S4 y Note 4, además de los teléfonos anteriores.
- HTC : One M7, One M8 y One M9.
- LG : G2, G3 y G4.
- Sony : Xperia Z2, Z3, Z4 y Z3 Compact.
- Android uno dispositivos compatibles con Google
Motorola también ha anunciado que parcheará sus teléfonos con actualizaciones a partir de agosto, incluidos Moto X (1.a y 2.a generación), Moto X Pro, Moto Maxx / Turbo, Moto G (1.a, 2.a y 3.a generación), Moto G con 4G LTE (1.a y 2.a generación), Moto E (1.a y 2.a generación), Moto E con 4G LTE (2.a generación), DROID Turbo y DROID Ultra / Mini / Maxx.
Google Nexus, Samsung y LG se han comprometido a actualizar sus teléfonos con actualizaciones de seguridad una vez al mes. Sin embargo, esta promesa solo se aplica realmente a los teléfonos insignia y requeriría la cooperación de los operadores. No está claro qué tan bien funcionaría esto. Los operadores podrían potencialmente interponerse en el camino de estas actualizaciones, y esto aún deja una gran cantidad (miles de modelos diferentes) de teléfonos en uso sin la actualización.
O simplemente instale CyanogenMod
RELACIONADO: 8 razones para instalar LineageOS en su dispositivo Android
CyanogenMod es una ROM personalizada de terceros de Android que suelen utilizar los entusiastas . Lleva una versión actual de Android a dispositivos que los fabricantes han dejado de admitir. Esta no es realmente la solución ideal para la persona promedio, ya que requiere desbloquear el gestor de arranque de su teléfono . Pero, si su teléfono es compatible, puede usar este truco para obtener una versión actual de Android con actualizaciones de seguridad actuales. No es mala idea instalar CyanogenMod si su teléfono ya no es compatible con su fabricante.
CyanogenMod ha solucionado la vulnerabilidad Stagefright en las versiones nocturnas, y la solución debería llegar pronto a la versión estable a través de una actualización OTA.
Android tiene un problema: la mayoría de los dispositivos no reciben actualizaciones de seguridad
RELACIONADO: Por qué los iPhones son más seguros que los teléfonos Android
Este es solo uno de los muchos agujeros de seguridad que acumulan los dispositivos Android antiguos, lamentablemente. Es uno particularmente malo que está recibiendo más atención. La mayoría de los dispositivos Android (todos los dispositivos con Android 4.3 y versiones anteriores) tener un componente de navegador web vulnerable , por ejemplo. Esto nunca se parcheará a menos que los dispositivos se actualicen a una versión más reciente de Android. Puede protegerse contra él ejecutando Chrome o Firefox, pero ese navegador vulnerable siempre estará en esos dispositivos hasta que sean reemplazados. Los fabricantes no están interesados en mantenerlos actualizados y actualizados, razón por la cual muchas personas han recurrido a CyanogenMod.
Google, los fabricantes de dispositivos Android y los operadores de telefonía móvil deben ponerse en orden, ya que el método actual de actualización, o mejor dicho, no actualización, de los dispositivos Android está dando lugar a un ecosistema Android con dispositivos que acumulan agujeros con el tiempo. Esto es por qué los iPhones son más seguros que los teléfonos Android - Los iPhones reciben actualizaciones de seguridad. Apple se ha comprometido a actualizar los iPhones durante más tiempo que Google (solo teléfonos Nexus), Samsung y LG también se están comprometiendo a actualizar sus teléfonos.
Probablemente hayas escuchado eso usar Windows XP es peligroso porque ya no se actualiza. XP seguirá acumulando agujeros de seguridad con el tiempo y se volverá cada vez más vulnerable. Bueno, usar la mayoría de los teléfonos con Android es de la misma manera: tampoco reciben actualizaciones de seguridad.
Algunas mitigaciones de exploits podrían ayudar a evitar que un gusano Stagefright se apodere de millones de teléfonos Android. Google argumenta que ASLR y otras protecciones en versiones más recientes de Android ayudan a evitar que Stagefright sea atacado, y esto parece ser parcialmente cierto.
Algunos operadores de telefonía celular también parecen estar bloqueando mensajes MMS potencialmente maliciosos en su extremo, evitando que lleguen a teléfonos vulnerables. Esto ayudaría a evitar que un gusano se propague a través de mensajes MMS, al menos en los operadores que toman medidas.
Credito de imagen: Matteo Doni en Flickr
