Prácticamente todos los dispositivos móviles con sistema operativo Android son susceptibles de ser atacados por hackers con códigos maliciosos, a partir de un mensaje de texto multimedia que también podría enviarlos a sitios Web maliciosos, advirtió este lunes una firma de investigación en seguridad informática.
La vulnerabilidad afecta nada menos que a 950 millones de aparatos (smartphones y tablets) con Android, y de acuerdo a Joshua Drake, vicepresidente de la compañía de investigación en seguridad Zimperium, la falla reside en Stagefright, una función que descarga automáticamente los archivos de video adjuntos a los textos para evitar que los destinatarios tengan que esperar para verlos. O sea, una función de preview.
El peor de los casos es el uso de un mensaje multimedia (MMS) modificado. Todo lo que el atacante necesitaría es el número de teléfono con Android vulnerable. A partir de allí, el mensaje dispararía el código malicioso en el aparato sin que el usuario deba hacer nada, y sin mostrar ninguna señal de que algo está mal. Vale decir que el código no necesita ni siquiera que la víctima dé «aceptar» para gatillarse, e incluso podría hacerlo mientras el dueño del dispositivo duerme.
La falla también puede ser explotada usando otras técnicas, incluyendo enlaces a sitios maliciosos. Drake esbozará otras seis o más técnicas que los hackers podrían usar en agosto durante el encuentro anual sobre seguridad Black Hat, que se realiza en Las Vegas, donde dará una charla justamente titulada «Stagefright: el código del miedo en el corazón de Android».
Según el especialista, todas las versiones de Android posteriores e incluída la 2.2 son potencialmente vulnerables y depende de cada fabricante solucionar el bug. Hasta ahora, son muy pocos los que han sido solucionados, y se estima que es un 95 por ciento de los dispositivos Android son hoy susceptibles de ataque. Los más vulnerables de todos son aquellos que corren versiones anteriores a Android 4.3 (Jelly Bean).
Zimperium reveló que informó de manera privada a Google (responsable de Android) sobre este tema, y la compañía agradeció el reporte, además de enviar el parche a sus fabricantes asociados. Pero de acuerdo a las estimaciones de la firma de seguridad, podrían pasar años hasta que se distribuyan los parches a ciertos modelos, y muchos de esos ni siquiera lo recibirían, informó La Voz.
