La vulnerabilidad conocida como Stagefright, nombre que recibe de la librería multimedia stagefright que gestiona nativamente vídeo y música en Android, ha dado un buen número de titulares durante el verano. Sobre todo porque, después de estar resuelto, luego resultó que Google lo parcheó mal, y de las actualizaciones mensuales de seguridad de los fabricantes no se volvió a saber nada. Como ya auguré.
Aunque Google no es fabricante, por ahora liberó una actualización de seguridad en septiembre, y está por ver si llegará otra en octubre para cumplir su promesa. La situación con esta vulnerabilidad de Android es peor todavía porque ha llegado su versión Stagefright 2.0, que permite a un atacante explotar la forma en que el sistema operativo gestionar el audio MP3 y el vídeo MP4, y que se puede utilizar para instalar malware.
Esta vulnerabilidad afecta a los dispositivos con Android 5.0 o superior, por lo que el porcentaje de dispositivos vulnerables es del 21 %. Los investigadores de Zimperium avisan que hay otra serie de dispositivos con versiones anteriores también potencialmente vulnerables, y parece que la librería stagefright de Android debería ser ampliamente revisada por Google.
El vector de ataque sería visitar una web con el contenido multimedia modificado, recibir un MMS con el contenido malicioso y en general las formas habituales de explotar este tipo de vulnerabilidades.
Vía: ZDNet.