El robot de Android Andy rodeado de luces

Hace unas semanas se hablaba de cómo era posible bloquear un iPhone mediante una cadena de caracteres enviados por iMessage. Un hecho preocupante pero sin grandes problemas relativos a la seguridad.

Ahora le toca a Android padecer un problema similar que podría acarrear consecuencias mucho peores. Los investigadores de la empresa de seguridad Zimperium han descubierto un fallo de seguridad crítico en el código fuente del sistema operativo móvil de Google que podría ser explotado con la ayuda de un sólo mensaje MMS.

El 95% de los smartphones Android potencialmente amenazados por un MMS

Este fallo, bautizado como Stagefright, ha sido localizado en el framework de una librería multimedia en C++ expuesta a una corrupción de memoria.

StagefrightStagefright

Explotarlo no es nada complicado ya que los hackers malintencionados sólo tienen que enviar un MMS capaz de inyectar el código malicioso y ejecutar el código a distancia.

El problema viene por la forma de procesar los mensajes de texto entrantes en Android. El software de reproducción multimedia utilizado por Android procesa los archivos como las imágenes o el vídeo enviados al dispositivo antes de que el usuario acceda a ellos. Los hackers pueden ocultar el malware en ellos para darles acceso al teléfono para copiar, borrar datos, utilizar la cámara, acceder al micrófono o el GPS y seguir cada movimiento del usuario.

El equipo de investigación indica que el mensaje podría borrarse incluso antes que el usuario lo consulte. Potencialmente, el 95% de los dispositivos Android serían vulnerables, desde la versión 2.2 hasta la 5.1, es decir, unos 950 millones de smartphones y tabletas.

Vulnerabilidad corregida, pero no parcheada por todos

La buena noticia es que, a penas descubierto el fallo de seguridad, los de Mountain View han presentado un parche proporcionado por los expertos de Zimperium en el código de Android Open Source Project.

La mala noticia, es que el proceso de actualización de 950 millones de dispositivos puede tomar un tiempo colosal según la buena voluntad de los fabricantes. Y aún peor, los dispositivos de más de 18 meses pueden no recibir nunca el correctivo.

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?