6/8/15

Vulnerabilidad Stagefright: Qué es y cómo evitar este malware en tu dispositivo Android


Hace poco saltaron las alarmas al descubrirse una nueva vulnerabilidad en Android, se trataba de Stagefright, un exploit que puede afectar a casi todos los teléfonos con Android en la actualidad, pues se puede ejecutar prácticamente en cualquier versión de Android, se envía por MMS y en AndroConsejos les contamos todos los detalles sobre este nuevo malware y cómo estar prevenido.

Ha sido la firma especializada en seguridad móvil Zimperium la que ha descubierto esta vulnerabilidad, la misma que ha publicado en su sitio oficial todos los detalles, pero tal como se estila en este tipo de compañias, primero han notificado a Google para que desarrolle el parche y se pueda solucionar este problema, el problema es que, si bien Google normalmente actúa con suma rapidez en estos casos, una vez que saca el parche los primeros en recibirlo son los dispositivos Nexus, y luego los envía a los fabricantes para que éstos lo liberen a su extenso catálogo de dispositivos, pasando obviamente por las Operadoras para la respectiva homologación, algo que debería terminarse de una vez por todas.

Cómo funciona la vulnerabilidad Stagefright?
El exploit aprovecha una vulnerabilidad en las librerías Stagefright, que es una biblioteca que procesa varios formatos multimedia. En un principio la Empresa mencionó que "el atacante sólo necesitaría nuestro número de móvil, con el que pueden ejecutar remotamente código arbitraio a través de un archivo multimedia especialmente diseñado el cual se envía a través de un MMS.  Un ataque planificado seriamente podría incluso borrar el mensaje antes de que uno lo vea. Sólo se verá la notificación. Estas vulnerabilidades son extremadamente peligrosas porque no requieren que la víctima tome cualquier acción para ser explotados. A diferencia de los ataques phishing, donde la víctima tiene que abrir un archivo PDF o un enlace enviado por el atacante, esta vulnerabilidad puede ser activada mientras uno duerme por ejemplo. Antes de que uno se despierte o revise su teléfono, el atacante eliminará cualquier signo de que el dispositivo está en peligro y continuaremos con nuestro día como siempre, pero con el dispositivo ya infectado".

 A continuación les dejamos una gráfica de cómo opera el exploit:


Con el transcurrir de los días Zimperium ha manifestado -en una actitud más prudente y correcta a mi parecer-  lo siguiente:
"Se estima que 50 por ciento de los dispositivos afectados sería capaz de desencadenar la vulnerabilidad sin ninguna interacción del usuario. Para otros casos (es decir el otro 50%) simplemente abriendo el MMS comprometerá el dispositivo." Esto desvirtúa lo anteriormente dicho por parte de la Empresa, donde mencionaba que en todos los casos el usuario no intervenía para nada en la ejecución del malware.

Durante ataques con éxito, el atacante es capaz de ejecutar código arbitrario en el dispositivo de destino con los medios de comunicación o los privilegios del sistema de audio y la cámara del dispositivo. En el uso de estos privilegios, el atacante puede grabar las conversaciones de su víctima e incluso grabarla a través de la cámara.

Segun Zimperium, en dispositivos rooteados, el software afectado se ejecuta con privilegios de sistema  y el atacante elevaría significativamente sus posibilidades, ya que podría tener el control casi completo del dispositivo. Aparte de estos privilegios elevados, la ejecución remota de código permite a los atacantes sofisticados ejecutar ataques "de escalada de privilegios", que permiten al atacante cambiar "roles" en el dispositivo - que proporciona un control sin restricciones como: acceso para leer mensajes de correo electrónico de la víctima, mensajes de Facebook/WhatsApp y contactos, acceder a los datos de otras aplicaciones o utilizar el dispositivo como un pivote en las aplicaciones de red de los clientes y en la nube.

El atacante puede ocultar los rastros del ataque simplemente borrando el MMS infectado después de un ataque con éxito. Si un atacante pasa tiempo adicional perfeccionando el ataque, podría hacerlo en silencio y sin que la víctima lo note. En un ataque menos sofisticado, la víctima verá una o más notificaciones entrantes de MMS en su pantalla. 

A qué dispositivos afecta esta vulnerabilidad?
Según menciona Zimperium casi la totalidad de teléfonos con Android están en peligro, pues cualquier dispositivo móvil que corra la versión Android 2.2 hasta Lollipop 5.1.1 está incluido, y el riesgo es aun mayor en los dispositivos con Android Jelly Bean o versiones anteriores.

Existe alguna forma de estar a salvo hasta que llegue el parche? Sí, así que calma, me imagino que después de leer la noticia a estas alturas nadie estará tranquilo, pues es un tema delicado,  no es el fin del mundo ni nada parecido, por eso y en lugar de esperar a que llegue el bendito parche vía OTA a tu dispositivo lo cual puede tardar desde días, semanas y hasta meses (a menos que tengas un dispositivo Nexus o en todo caso un equipo libre de operadora) en AndroConsejos les brindamos 2 sencillos métodos para evitar que este malware se apodere de tu dispositivo:

Opción 1: Desactivar la recuperación automática de mensajes multimedia: Esta solución ha sido brindada por la misma Zimperium, así que, repetimos, saludamos la prudencia con la que ha actuado en los últimos días la Empresa para brindar soluciones, pues en un primer momento sólo atinaban a decir "se tenía que contratar sus servicios mientras Google encontraba el parche", claro, es parte de su negocio, pero a veces se exceden al punto de llegar a niveles apocalípticos. Regresando a lo que nos interesa, la solución en este caso es abrir la aplicación de Mensajes de su dispositivo y luego seleccionar la opción de Ajustes, luego Ajustes Multimedia y por último desactivar la casilla que dice "Recuperar Automáticamente"


Opción 2: Usando aplicación de terceros para los SMS: Las principales aplicaciones alternativas de SMS que podemos encontrar en la Play Store se actualizan mucho más rápido que las que vienen por defecto en el equipo, En mi caso uso siempre la aplicación Textra SMS (de la cual hice un breve análisis hace algún tiempo AQUÍ) como aplicación por defecto, y justo hoy la actualicé, y para grata sorpresa mía la aplicación ya ha tomado medidas correctivas que bloquean el exploit, lo cual es de agradecer sinceramente, si desean probarla la encuentran gratis en la Play Store, sólo deben instalarla y luego seleccionarla como aplicación por defecto para los mensajes, no deben hacer nada más, pues el bloqueo de la vulnerabilidad viene activado por defecto:

Recomendaciones Adicionales:
1. Instalar una Custom ROM: Si cuentas con acceso root y un recovery modificado, pueden instalar una Custom ROM, en el Foro de XDA Developers y HTCMania podrán encontrar las mejores Custom ROMs para su dispositivo, como CyanogenMod, Blisspop, PacMan, Slim, Paranoid, AOKP, AICP, etc. estas ROMs están basadas en Android AOSP (Android puro sin capas de personalización) y tienen un soporte y desarrollo contínuo tanto en seguridad como en funcionalidad.

2. Deshabilitar Hangouts: También se recomienda evitar usar la aplicación de mensajería instantánea Hangouts (si la tienen instalada es mejor desinstalarla) y mucho menos tenerla como aplicación por defecto para los SMS, sé que no es aplicación muy popular (de hecho el 99% de personas que conozco no lo usa), pero si la tienes y la usas es mejor tomar precauciones, o al menos desactivar la recuperación automática (al igual que en la opción 1):

Qué hacer si crees que tu equipo está infectado?
Si has notado que tu dispositivo en comporta en forma extraña o has podido ver algún MMS en tu barra de notificaciones de algún remitente desconocido y que luego de un rato ha desaparecido sin hacer nada o ya lo abriste, lo mejor es hacer una copia de seguridad de tus app+datos y luego hacer un reseteo de tu dispositivo móvil (en la web y en YouTube hay cientos de Tutoriales de cómo hacerlo), si en caso tienes acceso root lo más recomendable es reinstalar el firmware oficial para tu dispositivo (igual que en el caso anterior, en la web encuentran los Tutoriales necesarios para ello). 

Conclusión
Una mala noticia sin duda alguna, ya hemos hablado de forma extensa sobre la fragmentación en Android hace algunos días Aquí y sus consecuencias, una de ellas en el tema de la seguridad, para nadie es un secreto que en la actualidad Android al ser el sistema operativo móvil más usado en el mundo es blanco de mayores ataques por parte de ciberdelincuentes que en otros sistemas operativos, tampoco es que Android sea mas inseguro que el resto -como señalan por ahí algunos desubicados-, Google siempre toma recaudos en este sentido, pero la tan odiada fragmentación, en la cual Google permite que participen los fabricantes y las operadoras, le hace mucho daño el ecosistema, creemos que la empresa de la gran G debe tomar decisiones radicales para evitar la fragmentación y así poder tomar el control de las actualizaciones en todos los dispositivos, o al menos en lo relacionado específicamente con el aspecto de la seguridad. Los métodos que les hemos compartido en este artículo son muy sencillos y les servirá de forma efectiva hasta que les llegue el parche oficial vía OTA por parte del fabricante de su equipo.

Fuente:
    Compartir Compartir

0 comentarios :

Publicar un comentario en la entrada

XboxManiac