La gran mayoría de los teléfonos Android puede ser hackeados mediante el envío de un simple mensaje multimedia (MMS) especialmente diseñado para ello, según acaba de revelar un experto en seguridad móvil.
Según los trabajos de investigador de seguridad Joshua Drake, vicepresidente de investigación de la firma Zimperium, el exploit sólo necesita conocer el número de teléfono de la víctima.
Drake ha encontrado diversas vulnerabilidades en el núcleo de un componente de Android, llamado Stagefright, que se utiliza para procesar, reproducir y grabar archivos multimedia. Algunos de los defectos permiten la ejecución remota del código y se activan cuando se recibe un mensaje MMS, descargando un fichero de vídeo a través del navegador o abriendo una página web con contenido multimedia embebido.
Como consecuencia, hay muchos potenciales vectores de ataque porque cada vez que el sistema operativo Android recibe contenido multimedia de cualquier fuente, lo hará a través de este componente, según Drake.
La librería no se utiliza sólo para la reproducción multimedia, sino también para generar automáticamente imágenes en miniatura o para extraer metadatos de los archivos de vídeo y audio, como su longitud, altura, anchura, velocidad de los fotogramas, canales e información similar.
Esto significa que los usuarios no necesariamente tienen que ejecutar archivos multimedia maliciosos para ser atacados, asegura el experto. La mera copia de dichos archivos en el sistema es suficiente.
El investigador no está seguro de cuántas aplicaciones dependen de Stagefright, pero cree que casi cualquier aplicación que se encargue de los archivos multimedia de Android utiliza este componente de una manera u otra.
El vector de ataque MMS es el más temible de todos ya que no requiere ninguna interacción por parte del usuario; el teléfono sólo necesita recibir un mensaje malicioso. Por ejemplo, el atacante podría enviar el MMS cuando la víctima esté durmiendo o el sonido del teléfono silenciado, insiste Drake. Después del ataque, el mensaje se puede eliminar, por lo que la víctima ni siquiera sabe que su teléfono ha sido vulnerado, concluye.
Tras encontrar la vulnerabilidad, también ha creado los parches y los ha compartido con Google, quien le agradeció su hallazgo y se incorporarán a las actualizaciones que la firma distribuye mensualmente y a los fabricantes de dispositivos que forman parte del programa de alianzas de Android, según PCWorld.com.
Las vulnerabilidades descubiertas por Drake afectan a dispositivos que funcionan con versiones Android 2.2 y superiores.
Fuente: pcworld.es