El pasado verano boreal estuvo marcado por numerosas vulnerabilidades para el sistema operativo Android y, entre todas ellas, Stagefright destacó sobre el resto. Esta vulnerabilidad se aprovechaba de un agujero de seguridad en la librería de la que toma su nombre y permitía a un atacante tomar el control de un dispositivo si se cumplía una serie de condiciones.

Ampliando los vectores de ataque

En la primera versión de la vulnerabilidad se hizo especial hincapié a la posibilidad de ejecutar código mediante el envío de un mensaje MMS especialmente modificado. El problema no radicaba solamente en este vector de ataque, y es que Stagefright es una librería con más de 10.000 líneas de código que presenta numerosos fallos, tiene unos privilegios en el sistema muy elevados y además es la encargada de manejar numerosos formatos de audio y vídeo.

No obstante, el investigador que descubrió esta vulnerabilidad ya avisaba de la existencia de otros muchos vectores de ataque, no solo el envío de MMS maliciosos. Google publicó una serie de parches de seguridad para mitigar la vulnerabilidad aunque solo se pudieron aplicar a un limitado número de dispositivos, quedando cientos de millones vulnerables.

Impacto y funcionamiento de Stagefright 2.0

En esta nueva vulnerabilidad se ha confirmado la ejecución remota de código usando esta librería en dispositivos con sistema operativo Android 5.0 y superiores. Los que tengan sistemas anteriores se pueden ver afectados si se usa una función vulnerable en aplicaciones de terceros y operadoras, por ejemplo.

Al procesar ficheros MP3 o MP4 modificados de forma especial se puede conseguir la ejecución de código arbitrario aprovechándose de un fallo en el procesamiento de los metadatos de estos ficheros. De esta forma, solo previsualizar una canción o vídeo provocaría la ejecución de código malicioso.

Debido a que el uso de MMS como vector de posibles ataques ya fue solucionado por Google en los dispositivos que pudieron actualizarse, los ataques que más probabilidad tendrían de realizarse serían a través del navegador web. A continuación ponemos ejemplos de algunos de estos ataques:

  • Utilizando algún engaño se intenta convencer al usuario para que acceda a una web maliciosa controlada por el atacante.
  • Un atacante que se encuentre en la misma red que la víctima podría inyectar un exploit que aprovechase esta vulnerabilidad usando técnicas MITM para descifrar las comunicaciones que envía y recibe el navegador usado desde el dispositivo vulnerable.
  • Aprovechamiento de aplicaciones de terceros que usen la librería vulnerable para ejecutar código malicioso.

A la espera de una solución

Los investigadores de la empresa Zimperium, responsables del descubrimiento de estas dos vulnerabilidades en la librería Stagefright, ya han notificado a Google sus investigaciones y se espera que se lance un parche de seguridad tan pronto como la semana que viene.

No obstante, el problema principal sigue siendo el hecho de que la gran mayoría de dispositivos Android (alrededor de un 95%) no van a poder actualizarse, quedando a merced de los atacantes que quieran aprovechar esta y otras vulnerabilidades.

Si algo bueno ha tenido la publicación de estas vulnerabilidades es que tanto Google como alguno de los fabricantes de dispositivos Android más populares han anunciado un cambio en sus políticas de seguridad y han prometido empezar a publicar parches de seguridad para sus dispositivos de forma mensual.