El grupo de investigadores de seguridad de Google llamado Project Zero, encargado de encontrar amenazas de seguridad en software de cualquier empresa, ha contradecido al equipo de seguridad de Android sobre la amenaza real que representa el fallo de seguridad conocido como Stagefright.
Durante las últimas semanas, el equipo de seguridad de Android ha estado repitiendo activamente que Stagefright no es una amenaza tan grave como parece puesto que la seguridad de Android mitiga los ataques. Sin embargo, Project Zero ha dicho que no mitiga nada, ya que lo único que hace es que se tarde algo más en explotar el fallo de seguridad.
Los argumentos
El argumento publicitario cual campaña de control de daños del equipo de seguridad de Android es que la característica ASLR (Address Space Layout Randomization) hace que, puesto que el fallo en Stagefright puede hacer que busque posiciones concretas de memoria para ejecutar código maligno, sea mucho menos efectivo y por tanto reduce considerablemente la posibilidad de ejecutar el código maligno.
El argumento de Project Zero, como expertos de seguridad, es que sólo elige aleatoriamente entre una de 28 (256) posiciones de memoria distintas, posiblemente por maximizar la comaptibilidad con todo tipo de hardware. Por cómo funciona la librería multimedia de Android (llamada stagefright y que da nombre al fallo de seguridad), cuando falla en un intento de ejecutar código, éste se cierra y el servicio se vuelve a ejecutar unos segundos después.
Por tanto, con un script de JavaScript o código similar, se podría hacer que intentara ejecutar continuamente el código de una posición de memoria concreta, siempre la misma, hasta que consiga ejecutar con éxito el código maligno. Puesto que stagefright no informa al usuario de cada fallo que se produce en su ejecución, el usuario no se entera de nada.
La conclusión
Google ha metido la pata pero muy bien metida con el asunto de Stagefright. Lo primero por distribuir un parche que no servía para nada. Por otra parte porque se está quemando ya los dedos con las escasas buenas prácticas de seguridad de los fabricantes de Android. Y por último, por intentar restarle importancia a un problema de seguridad que afecta al 90% de los dispositivos que usan Android, alegando que ASLR mitiga los ataques, cosa que Project Zero ha dejado constancia de que no es cierto.
Los problemas de seguridad están yendo en aumento. Android es un ecosistema de 2.000 millones de dispositivos y por tanto atrae más la atención de los hackers que Windows Phone y que el ecosistema cerrado de Appel.
De ellos, no recibirán nunca actualizaciones de seguridad ni de ningún tipo el 80% de ellos, y deja al usuario con cara de tonto cuando se le cuele malware. Porque si bien hay que mantener buenas prácticas de seguridad (no meterse en páginas web de dudosa reputación o descargar aplicaciones de fuentes desconocidas), a la larga incluso los más cautelosos terminan cometiendo, por distracción, un error fatal.
Google debería tomar las riendas de las actualizaciones Android ya mismo, y antes de que ocurra una gran hecatombe de seguridad que, según todos los expertos, es ya sólo una cuestión de tiempo que ocurra.
Vía: Ars Technica.