Si tienes un smartphone Android, está en grave peligro y posiblemente lo esté siempre

cherokin

V.I.P.
Ni más ni menos que el 95% de los terminales con Android (desde la versión 2.2 hasta la más actual, la 5.1), están en peligro y podrían quedar en control de terceros de forma bastante sencilla. Y lo que es peor, sin que el usuario se de cuenta.

La señal de alarma la han dado en Zimperium y Google no ha tardado en admitir que efectivamente tienen un grave problema que afecta a todas sus versiones de Android. La culpable es la librería Stagefright, que permite que sin que el usuario tenga que hacer nada, el terminal pueda quedar en manos de un tercero que haya incluido código malicioso en un vídeo que puede llegar por múltiples vías, especialmente mensajería instantánea.

Actualizar el sistema operativo, la (difícil) manera de solucionarlo

En la era de las redes sociales y la mensajería, recibir un vídeo corto es un peligro potencial enorme que podría aprovechar este error en Android. En muchos programas, la descarga de ese vídeo para tener una previsualización rápida es un hecho, por lo que simplemente recibiendo ese vídeo por MMS u otros programas de mensajería como Hangouts ya supone un peligro en caso de que incluya código malicioso.


Xm7TvwS.jpg

Aunque el aviso fue enviado a Google el pasado mes de abril por parte de los ingenieros de Zimperium, la vulnerabilidad no había salido todavía a la luz y por ahora no se conoce que haya sido aprovechado por hackers.

Google dice haber preparado ya las actualizaciones necesarias que han sido enviadas a los fabricantes para que las puedan incluir en actualizaciones del sistema, lo que unido a las propias herramientas de Android (según Google), serían suficiente para mitigar este error de seguridad tan importante, seguramente el que más en la historia de Android.

Pero el problema con esta solución no es la rapidez o lentitud con que se haya realizado sino las actualizaciones de terminales Android. Dado que afecta a terminales desde la versión 2.2 de Android, es imposible visto el historial de Android que esos terminales (incluso puede que modelos más allá de Android 4.0) lleguen alguna vez a tener una actualización del sistema que pueda solucionar este grave fallo.

De hecho, la cifra que estiman desde la firma de seguridad, liderada por Joshua Drake, es demoledora: menos del 50% de los terminales con Android llegarían en algún momento a ver solucionada esta vulnerabilidad en sus terminales.

27-07-2015

FUENTE: XATAKA
 

cherokin

V.I.P.
Debería haberlo comentado antes, estuve leyendo a posteriori en un blog de seguridad y al parecer el peligro sólo viene por la vía de los MMS, y para solucionarlo es aconsejable desactivar el siguiente ajuste: "Recuperar mensajes automáticamente", al menos así se llama el ajuste en mi anticuado Android, en otras versiones puede variar.

Os dejo una info más elaborada tomada de Xatakandroid:

Desactiva la descarga automática de los MMS

Igp2318.jpg

Aunque de momento no se conocen ataques que se aprovechen de esta vulnerabilidad, podemos curarnos en salud cortando de raíz la puerta de acceso a esta vulnerabilidad, que es la descarga automática de los MMS.

La mayoría de aplicaciones de Mensajes entre sus ajustes viene la opción para desactivar la descarga automática de MMS. En algunas aplicaciones esta opción puede llamarse "Recuperar automáticamente", "Recuperar mensajes MMS", "Descarga automática de MMS" o similiar, y en todas las aplicaciones esta opción se encuentra dentro de sus ajustes o ajustes avanzados. Por ejemplo en Google Messenger es en Ajustes > Ajustes Avanzados y en Hangouts es en Ajustes > SMS.

Este truco no soluciona la vulnerabilidad pero si nos protege contra ella, ya que al desactivar la descarga automática ya somos nosotros los que tenemos que descargar manualmente el MMS, con lo que si vemos que se trata de un remitente desconocido e incluye un vídeo sospechoso tan sólo tendremos que borrarlo.



Un saludo
 
Arriba