Investigadores israelíes hallaron una nueva forma de explotar la vulnerabilidad en Stagefright reportada el año pasado, la cual afecta a esta librería que Android usa para analizar archivos multimedia.
Repasemos su funcionamiento: mediante un sitio web malicioso o comprometido, o un MMS especialmente diseñado, cibercriminales podrían lograr que un dispositivo ejecute código malicioso para robarle información, aunque en aquel entonces lanzamos una herramienta gratuita capaz de detectar si el equipo es vulnerable a Stagefright.
Pero eso no fue todo: el reciente paper firmado por Hanan Be’er, investigador de NorthBit, asegura que el exploit que bautizaron como "Metaphor" puede seguir aprovechándose de la vulnerabilidad en Stagefright. Sugiere que millones de dispositivos Android son vulnerables a que se salteen sus mecanismos de defensa, y afirma que la técnica funcionó en las versiones del sistema operativo 2.2 a 4.0 y 5.0 a 5.1; además, en estas últimas, logra evadir el mecanismo ASLR. Se trata de "address space layout randomization", incorporado para complicar el funcionamiento exitoso de exploits previniendo ataques de desbordamiento de búfer.
Tal como cuenta The Register, el proceso descubierto se compone de varias etapas. Primero, la víctima llega a un sitio malicioso que envía un video al dispositivo, el cual hace colapsar el servidor multimedia del sistema operativo para que restablezca su estado interno. Cuando se produce este reinicio, un código JavaScript envía información del equipo al servidor privado del atacante, a través de Internet.
Luego, este servidor crea un archivo de video personalizado que envía nuevamente al dispositivo, y es este el que explota a Stagefright para que se revele más información del estado interno del equipo. El siguiente video creado por el atacante, al ser procesado por Stagefright, comienza a ejecutar un payload que corre con todos los privilegios que necesita para espiar al usuario.
De esta forma, la técnica explota la falla CVE-2015-3864 incluso sin que el usuario dé "play" al video o lo vea, ya que comienza a trabajar cuando el navegador web busca y analiza el archivo. Recordemos que Stagefright es el reproductor de medios nativo de Android.
"Nuestro exploit funciona mejor en Nexus 5. También fue probado en HTC One, LG G3 y Samsung S5, aunque la explotación es ligeramente diferente entre distintos vendors. Se necesitaron algunas modificaciones", concluye el análisis.
De todas formas, recuerda que estos exploits generados en entornos de prueba a menudo se presentan como problemas extremadamente críticos, aunque luego se ve que su alcance está limitado a escenarios muy concretos. Además, este ataque requiere la ejecución de JavaScript a través de un navegador web y, tal como reportan los investigadores, este tipo de código tiene algunas limitaciones.
Por eso, no entres en pánico, mantente al tanto de las últimas novedades, y aplica parches en caso de que el proveedor los libere.