En concreto, el escenario más peligroso del ataque era un mensaje, que utiliza el formato MMS, que podría ser procesado con la ayuda de la librería Stagefright.

Al recibir el mensaje malicioso, la aplicación responsable de gestionar tales mensajes muestra una vista previa del mensaje en la zona de notificaciones. De esta manera consigue que el código vulnerable se active en el teléfono.

Fortinet recuerda que la vulnerabilidad está considerada como crítica, ya que afecta al dispositivo sin que haya interacción por parte del usuario, por ejemplo, simplemente por recibir un MMS. Otros exploits y malware para teléfonos Android implican acción por parte del usuario, como que éste instale una aplicación, haga clic en un link, abra un MMS, etc.

Además, en el caso del Stagefright, el mensaje recibido puede ser eliminado, sin dejar huella del intento de ataque en la víctima del teléfono, aunque este se ha producido.

Todo lo que necesita el cibercriminal es el número de teléfono de la víctima y que el dispositivo Android ejecute la versión 2.2 “Froyo” o posterior, para que el exploit empiece a operar.

En cuanto a los dispositivos expuestos a este ataque son:

• Todos los que dispongan de sistema operativo Android o derivado, desde la versión 2.2
• Los dispositivos con versiones de Android anteriores a la 4.1 “Jelly Bean” sin parchear, son los más vulnerables por no disponer de un sistema adecuado para mitigar los exploits
• Los investigadores estiman que el total de dispositivos vulnerables es de 950 millones, es decir, un 95% de todos los dispositivos Android.

Además, esta vulnerabilidad también afecta a smartphones con Mozilla Firefox, ya que utiliza la misma librería en todas las plataformas, excepto en Linux. Se ha resuelto con un parche en la versión 38 de Firefox y se recomienda a los usuarios actualizar sus navegadores.

La vulnerabilidad Stagefright

El mérito del descubrimiento de Stagefright es de los ZLabs de Zimperium y muy especialmente de Joshua J. Drake, vicepresidente de investigación y explotación de plataformas y plataforma de la compañía especializada en seguridad móvil, quien como señala el blog de su firma, “se zambulló en los rincones más profundos del código de Android, descubriendo una de las peores vulnerabilidades del sistema operativo de Google, que exponen críticamente al 95% de dispositivos Android, unos 950 millones de unidades”.

La investigación de Drake, que será presentada esta semana en las conferencias BlackHat USA y DEF CON 23, encontró múltiples vulnerabilidades de ejecución remota que pueden ser explotadas de usando diferentes métodos y el peor es el que no requiere ninguna interacción del usuario.

Por su parte, los Laboratorios FortiGuard, con su equipo de expertos en identificación de amenazas, están evaluando y realizando sus primeras hipótesis con la información disponible hasta ahora.

Entre otros aspectos, señalan que hay una función dentro de la librería Stagefright que lee el buffer 4 bytes a la derecha, por lo que podría encontrarse con una página de memoria no mapeada. Esta hipótesis está basada en vulnerabilidades anteriores de la misma librería en el código fuente Android y otros sistemas operativos basados en Android.

Según los FortiGuard, los detalles técnicos del exploit, a fecha de hoy, todavía no están claros y habrá que esperar hasta la BlackHat Europe, el evento de ciberseguridad que se celebrará en Ámsterdam, del 10 al 13 Noviembre, donde se desvelará el exploit exacto.

En lo que respecta a los usuarios, Fortinet se recomienda:

1. Deshabilitar la opción de descarga automática de mensajes MMS en las aplicaciones que gestionan tales mensajes, como la que se utiliza por defecto: Android Messaging, así como Google Hangouts o cualquier otra aplicación similar
2. Actualizar el sistema operativo de su smartphone Android. Los parches de algunas versiones más populares del SO ya están disponibles (CyanogenMod & Blackphone). El parcheado en CyanogenMod versiones 12.0 y 12.1 está disponible en https://plus.google.com/+CyanogenMod/posts/7iuX21Tz7n8, los BlackPhones con PrivatOS versión 1.1.7 y las relativas a los Google Nexus estarán disponibles a principios de la próxima semana.

Los códigos internos de Android se han actualizado tras la publicación de esta incidencia de seguridad, pero la actualización de los diferentes modelos de smartphones dependerá de la reacción de cada fabricante que utilizan el sistema operativo Android en sus dispositivos. Es posible que muchos dispositivos no sean actualizados. Más información en http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/ y en www.fortinet.com