Ayer en la mañana me enteré de una de las más terroríficas vulnerabilidades en el mundo de los dispositivos móviles que me ha dejado helado.

Stagefright

android2

Esta es una vulnerabilidad detectada por Joshua Drake vicepresidente de la firma de seguridad informática Zimperium. Es una librería para la reproducción de contenido multimedia en dispositivos Android. Esta librería forma parte del núcleo de este sistema operativo desde sus versiones 2.2 (Froyo) en adelante hasta la 5.1 (Lollipop). Por ende todos los dispositivos Android estimando alrededor de unos 950 millones de dispositivos en el mundo se encuentran vulnerables a este problema.

La vulnerabilidad permite la ejecución de código malicioso por medio de esta librería al recibir un mensaje MMS con contenido multimedia o un mensaje PDF, por ejemplo por medio del servicio de mensajería Google Hangouts o cualquier otro que eche mano de esta librería para reproducir contenido multimedia o para pre cargarlo. No es necesario ejecutar el video ni tampoco reproducir el video para ser vulnerado, ya que esta librería pre ejecuta el contenido multimedia de los MMS para hacer más dinámica su posterior reproducción. Esto quiere decir que basta con que el mensaje llegue al dispositivo para ser alcanzado por el código malicioso del que este sea portador.

 Para verlo de una manera más clara, cuando te llega un MMS se dispara una notificación en el systray de Android, aquí es donde vemos que ha llegado un mensaje, basta solo con esto para que la librería stagefright pre ejecute este código malicioso, no hay necesidad de ningún tipo de acción por parte del usuario, esto es como un ataque directo. Podemos compararlo con conocer justamente el punto más débil de la construcción de un edificio y disparar una bala de cañón justo contra ese punto.

Mientras que otras vulnerabilidades necesitan una interacción por parte del usuario para ser ejecutadas esta lo hace con ayuda del sistema operativo Android. Hagamos la siguiente analogía, casi cualquier malware es una especie de mina o bomba de tiempo, para que estas puedan explotar es necesario que alguien las detone o les inicie su cuenta regresiva mediante una acción, mientras que stagefright es directamente una detonación de un misil crucero lanzado directamente hacia nosotros.

Algunas personas han inferido que es necesario en este punto tomar ciertas contramedidas para tratar de defenderse hasta cierto punto de esta amenaza. Muchas de estas personas han sugerido el bloqueo de mensajes de fuentes desconocidas, sin embargo esto no necesariamente nos protege de esta vulnerabilidad ya que la misma puede ser explotada mediante la ejecución de contenido multimedia alojado en web sites maliciosos o contenido infectado enviado directamente por redes sociales u otros medios de comunicación digital como cualquier sistema de mensajería instantánea o correo electrónico, volviendo vulnerable nuestro dispositivo contra imágenes, videos y archivos PDF.

¿Qué es lo peor que podría pasar?

android1

Bueno, esta es una pregunta frecuente entre la gente de a pie. Es frecuente el pensamiento de la gente de que: “Yo no soy nadie, para que van a querer hackearme” o otros pensamientos como: “No tengo nada en mi teléfono celular que puedan querer”, “Ni que yo fuera el gerente del banco mundial para que un hacker gaste su tiempo atacandome”.

El mundo de la inseguridad informática es muchísimo más obscuro y profundo de lo que la mayoría de los usuarios han reflexionado alguna vez en su vida. Ahora además de ataques dirigidos específicamente contra personas que tienen un altísimo valor estratégico por sus posiciones políticas o empresariales existen ataques dirigidos a masas, ataques que se disparan para vulnerar la mayor cantidad de dispositivos alrededor del mundo, sin importar quienes sean o a que se dediquen.

Existen tantas maneras en las que un atacante puede sacar provecho de vulnerarlo a usted o de vulnerarme a mí que me demoraría muchísimo escribiendo sobre todas y cada una de ellas, sin embargo voy a hacerles un resumen de algunas, las que para mí son las más tétricas.

  1. Vender los datos a terceros
  2. Crear una red de zombis
  3. Monitoreo de actividades
  4. Estafa bancaria
  5. Secuestro de información

Existen organizaciones y cibercriminales que se dedican a vender grandes cantidades de información a terceros, no solamente la información de cuentas y de contraseñas de redes sociales y correos electrónicos sino que también información bancaria. Cuando estas personas tienen acceso a su dispositivo móvil mediante una vulnerabilidad como ésta perfectamente pueden realizar un ataque de Session Hijacking (Secuestro de sesión) donde tendrán acceso absolutamente a todos los recursos de su dispositivo, teniendo la capacidad de hacer lo que les venga en gana, esto incluye utilizar su dispositivo como puente o puerta de enlace para realizar algún otro tipo de ataque a organizaciones o personas particulares.

Un ejemplo de lo que un atacante podría realizar con su dispositivo es utilizarlo para enviar mensajes de texto a su red de contactos para infectar a otros dispositivos como una especie de gusano inteligente, esto destruiría las defensas de aquellos de sus contactos que se hayan protegido contra mensajes de fuentes desconocidas.

Abrir las puertas a todo un universo de ataques distintos a partir de esta vulnerabilidad es una de las cuestiones que resultan más perversas de este problema en el núcleo de Android. Hasta parece de ciencia ficción.

Publiquese con nosotros

Lo peor será la capacidad de reacción para corregir el problema

android4

Mientras que Drake notificó de manera inmediata a Google acerca de esta vulnerabilidad el gigante de Silicon Valley respondió que de la manera más pronta estarían parcheando el problema. Pero aquí viene la pregunta obvia, ¿Cuánto tiempo van a tardar los distintos proveedores en distribuir una versión corregida del sistema operativo a sus dispositivos alrededor del mundo? Ya sabemos que Samsung así como muchos otros fabricantes se toman mucho tiempo para distribuir actualizaciones del sistema operativo alrededor del mundo debido a sus extrañísimas políticas burocráticas, entre estas la repartición sectorizada donde primero se distribuye a países desarrollados y luego llega a estos rincones del tercer mundo.

Por otro lado tenemos el otro problema, esta corrección será distribuida única y exclusivamente para las versiones actuales del sistema operativo ya que las anteriores dejaron de tener soporte. Esto quiere decir que inevitablemente versiones como Froyo van a quedar fuera de la corrección haciendo que estos dispositivos sean caldo de cultivo para infecciones tanto locales como para crear botnets de dispositivos móviles, lo que llaman una red de androides zombis.

La conclusión lógica aquí es que lo mejor que puede hacerse de momento es rezar porque Google distribuya lo más rápido posible la corrección a esta vulnerabilidad y que los fabricantes también lo hagan. En el caso de aquellas personas que estén utilizando dispositivos vulnerables yo les recomiendo que actualicen sus equipos por unos más modernos, aunque sean de bajo coste pero que tengan una versión más actualizada del sistema operativo, o que en dado caso se aventuren a rootear su sistema con una versión de fábrica de Android, de paso se liberarían de todo el BloatWare que viene con la versión de fábrica de su fabricante sea este cualquiera que sea.

Ahora es cuando traigo a la palestra el dilema ético de los proveedores de telefonía celular. Si se conoce ya mundialmente el problema y la cantidad de vulnerabilidades de los dispositivos con versiones anteriores a la actual LolliPop (5.0, 5.2) será que van a descontinuar la venta de equipos viejos? Será que los proveedores de telefonía se van a poner éticos en esto y van a colaborar en que la seguridad informática del país y del mundo sea mucho mejor descontinuando todos los teléfonos con versiones de SO descontinuadas por Google? No lo creo, porque en realidad no les importa.

Pero, ¿Esto no podría tener repercusiones legales? ¿Qué pasa si un proveedor de telefonía me vende un dispositivo que ya de por sí conoce es inseguro y a mí me roban mis cuentas bancarias? ¿Será que después de conocerse este BUM mediático de esta vulnerabilidad van a seguir vendiendo equipos conocidos como inseguros?

Son preguntas interesantes que me gustaría fueran abordadas por algún o alguna conocedora en leyes, claro, no es por tratar de ser alarmista ni tratar de crear polémica, solo es sana preocupación ciudadana.

Conozca al autor
Jherom Chacón Vega Ing Ingeniero en sistemas y Docente. Analista de sistemas y desarrollador de software. Geek, maker y tecnólogo apasionado.

Sobre El Autor

Ingeniero en sistemas y Docente. Analista de sistemas y desarrollador de software. Geek, maker y tecnólogo apasionado.

Artículos Relacionados