Stagefright 2.0: La seguridad en Android, nuevamente en peligro

Hace no mucho tiempo oímos hablar de «Stagefright«, un fallo de seguridad en Android que daba mucho que hablar. Tras el revuelo creado por este problema, los desarrolladores del Sistema Operativo de Google se pusieron manos a la obra y «resolvieron» el problema. Ahora, poco tiempo después, surge el denominado «Stagefright 2.0«.
Los afectados
Mil millones de dispositivos Android están en peligro. Así lo han confirmado los expertos en seguridad, que afirman que esta brecha en la seguridad del Sistema Operativo está «pasando desapercibida» debido al sector al que afecta: únicamente a los terminales con la versión de Android 5.0 o superiores.
Ya se afirmaba, desde el momento en que la primera versión de este fallo surgió, que millones de dispositivos corrían peligro debido al posible control de los mismos a través de archivos multimedia, especialmente diseñados para ser entregados vía MMS. Esta vez, aunque únicamente afecte a los dispositivos con Android 5.0 o superiores, el peligro puede ser aún mayor, pues el método de propagación (explicado a continuación) sería más «universal».
En qué consiste
Esta vez la propagación de malware puede ser más rápida. La «filosofía» del Stagefright 2.0 consiste en la posibilidad de tomar el control de cualquier dispositivo con el simple envío de un archivo multimedia. Para ser claros, no hace falta ejecutar o descargar el archivo para que la brecha de seguridad se abra sino que, únicamente por medio del procesado del contenido, la víctima ya sea vulnerable.
Según explica Mark James, especialista en seguridad de la compañía ESET, «la visita a un sitio web o la vista previa de un archivo de canción o vídeo infectados puede permitir al atacante acceder al dispositivo móvil de la víctima y ejecutar un código remoto«. Según este experto, los atacantes tendrían acceso completo al dispositivo, permitiendo instalar cualquier malware o incluso robar datos personales con el fin de suplantar la identidad de la víctima.
Con archivos de audio o de vídeo, como .mp3 o .mp4, respectivamente, el dispositivo de la víctima podría ser controlado de forma remota y sus datos correrían peligro.
El verdadero problema
Hasta aquí ya podríamos estar asustados, pero esto no termina aún. Para ser conscientes del verdadero peligro, podemos comparar claramente ambas versiones de este fallo de seguridad. Las diferencias son sencillas:
- Para el éxito de Stagefright 1.0, se requería información sobre la víctima, como un número de teléfono al cual enviar el archivo multimedia infectado.
- Para el éxito de Stagefright 2.0, no es necesaria información personal de ningún tipo. Como ya se ha dicho antes, con la vista previa de un vídeo en internet podría propagarse el virus y, según afirma Mark James, «podría permitir el acceso a más de mil millones de dispositivos Android«.
El resultado
Nuestra seguridad y nuestros datos personales han estado en peligro sucesivamente estos últimos meses. Desde aquí recalcamos que, a pesar de afectar únicamente a dispositivos con Lollipop, muchos terminales han actualizado esta versión (o incluso a Marshmallow debido a su reciente publicación para dispositivos Nexus), y por tanto pueden estar amenazados. ¿Se solucionará alguna vez este fallo de seguridad? ¿O siempre habrá una puerta abierta para los ciberdelincuentes?