El equipo de Seguridad en TIC identificó una serie de vulnerabilidades en el sistema operativo Android, informadas al fabricante según este mecanismo de reporte.
Las vulnerabilidades que se describen a continuación fueron encontradas en Stagefright, una biblioteca que corre en dispositivos con sistema operativo Android utilizada para procesar contenido multimedia de archivos con diferentes formatos.
Se identificaron cinco vulnerabilidades al procesar archivos con formato MKV, MP3, MP4, Ogg y/o con contenido protegido con DRM. Los bugs pueden ser utilizados por un potencial atacante para ejecutar comandos de manera remota en un dispositivo vulnerable y obtener acceso a los datos alojados en él.
Para explotar el problema, un potencial atacante requeriría que la víctima abriera un archivo, con alguno de estos formatos, diseñado especialmente para el ataque. Esto podría lograrse enviando el archivo en un mensaje de texto, engañando a la víctima para que lo descargue de un sitio web controlado por el atacante o copiándolo desde alguna aplicación instalada en el dispositivo, por ejemplo alguna de mensajería instantánea.
Adicionalmente se identificó una vulnerabilidad en esta misma biblioteca, que se manifiesta al procesar archivos de audio con formato MP3 que incluyan un encabezado de tipo ID3 malformado. Este bug puede ser utilizado para eludir mecanismos de protección de Android diseñados para impedir o dificultar ataques informáticos.
Las vulnerabilidades fueron informadas y la empresa solucionó los errores pero, como Google distribuye sus parches a través de los fabricantes de smartphones y tablets y no directamente a los usuarios, las actualizaciones podrían tardar en llegar. A quienes no cuenten con la última actualización de Android, se les recomienda deshabilitar la descarga automática de MMS y evitar abrir los archivos multimedia desconocidos en su dispositivo. En cualquier caso se recomienda siempre mantener actualizado el sistema operativo.
Estas vulnerabilidades resultan particularmente graves dado que afectan aproximadamente al 93% de dispositivos con Android.
Se pueden descargar los reportes con el detalle de cada una de estas vulnerabilidades identificadas desde el sitio oficial de la Fundación Sadosky.