1.000 millones de dispositivos Android afectados por nuevos fallos de Stagefright
Los riesgos de estas vulnerabilidades, bautizadas como Stagefright 2.0, conllevan la ejecución de código remoto y la escalada de privilegios, permitiendo a un atacante tomar el control de dispositivo comprometido, señalan investigadores de Zimperium.
Cuando, el pasado mes de agosto, Joshua Drake investigador de Zimperium, publicó datos sobre vulnerabilidades Android detectadas en el motor de reproducción multimedia Stagefright, aseguró que él y otros encontrarían más fallos e informarían al equipo de seguridad Android de Google. Pues bien, Drake acaba de informar del hallazgo de dos nuevas vulnerabilidades en Stagefright, una que se remonta a la primera versión de Android, y una segunda vulnerabilidad que se introdujo en Android 5.0. Los fallos afectan a más de mil millones de dispositivos Android, la mayoría de ellos en circulación.
Los riesgos de estas vulnerabilidades, apodadas Stagefright 2.0, son casi idénticos a los del fallo de Stagefright original; la única diferencia es que el vector de ataque para la primera vulnerabilidad ha sido parcheado. De producirse, los exploits permitirían la ejecución remota de código y una escalada de privilegios, permitiendo a un atacante tomar el control de un dispositivo comprometido, y tener acceso a los datos personales y fotos almacenadas en el teléfono, tomar fotos, grabar conversaciones, filtrar correo electrónico y SMS / MMS, y cargar aplicaciones adicionales. "Es tan peligroso como Stagefright 1.0", aseguran desde Zimperium.
Mientras que el primer fallo Stagefright fue parcheado rápidamente por parte de Google y desplegado por los operadores y fabricantes de teléfonos, las actualizaciones para estas dos vulnerabilidades aún no están disponibles para el público en general. Según fuentes de Google, los parches serán suministrados a los usuarios de Nexus y se incluirán en la próxima actualización mensual de seguridad de Android programada para el 5 de octubre.
