Dispositivos móviles
Un ciberdelincuente
solo necesita
unos segundos para ‘hackear’ tu móvil Android
Una palabra que puso en alerta
a los usuarios del sistema operativo de Google el año pasado vuelve a
pronunciarse con fuerza. Stagefright
regresa, tanto o más peligroso en su nueva encarnación, que ha sido bautizada
por sus descubridores como Metaphor.
Se trata de una nueva técnica
para aprovechar la tristemente célebre serie de vulnerabilidades que sufre
Stagefright (en realidad el nombre de una librería multimedia de Android,
aunque el término se haya popularizado por culpa de sus agujeros) y que afecta potencialmente a cientos de miles de dispositivos; en concreto los equipos vulnerables son los que emplean las versiones
5.0 – 5.1 (unos 235 millones, el 23,5 % del total) o alguna entre la 2.2 y la
4.0 (terminales antiguos que ya eran inseguros por su exposición a otras
amenazas).
Sorprende la aparición del
nuevo ‘exploit’ porque las correcciones y medidas de seguridad implementadas
por Google tras el hallazgo de los fallos en su librería, supuestamente, habían
hecho de Stagefright un conjunto de vulnerabilidades difíciles de aprovechar
para un ataque real.
Metaphor es capaz de esquivar
el ASLR, un mecanismo de
protección adicional que se añadió a las versiones más modernas de Android,
aquellas que llegaron a beneficiarse de los parches y actualizaciones. De ahí
que con el nuevo método de ataque, como sus propios creadores han demostrado, se
puedan controlar dispositivos tan modernos y dispares como un Nexus 5, un
Samsung Galaxy S5, un LG G3 o un HTC One.
Prácticamente no hace falta
intervención del usuario del ‘smartphone’. El atacante solo debe conseguir que
acceda a una determinada página web (de aspecto inofensivo), por ejemplo a
través de un enlace recibido por correo electrónico.
En la prueba de concepto, un
email que promete fotos de gatitos conduce a la víctima a una página que,
efectivamente, contiene ese material. El destinatario no tiene forma de saber
que está siendo atacado. En cuestión de 10 o 15 segundos, el ciberdelincuente
se puede hacer con el control del terminal de su víctima. Todo gracias a un
archivo de vídeo malicioso, que se ejecuta en la inocente web de gatitos sin
que el visitante se percate, diseñado para aprovechar una de las
vulnerabilidades de Stagefright.
La estrategia de Metaphor no
es totalmente novedosa. En buena medida se basa en los ataques que se
publicaron el pasado año, cuando los agujeros fueron descubiertos. Sin embargo,
su peligrosidad reside en la capacidad de sortear ASLR, la barrera que Google
levantó en todas las versiones de Android a partir de la 4.1 (aunque no todos
los fabricantes han distribuido el parche entre sus usuarios).
Por esta y otras razones, la
nueva amenaza no solo compromete a los dispositivos más antiguos, sino también
a los modernos. Ni siquiera están a salvo los que tienen Lollipop 5.1, que
representan aproximadamente el 19 % de todos los ‘smartphones’ con Android.
En todo caso, la mejor forma
de protegerse de este y otros riesgos vinculados con Stagefright es mantener el
sistema operativo tan actualizado como sea posible y con un buen antivirus instalado. Si tu teléfono se ha quedado fuera de los planes de
actualización del fabricante, extrema las precauciones: no debería navegar por
páginas web salvo que sean de total confianza. Ni siquiera las que prometen
adorables fotos de gatitos.
No hay comentarios:
Publicar un comentario