Las vulnerabilidades pueden provocar la ejecución de código remoto en casi todos los dispositivos que ejecutan Android, comenzando con la versión 1.0 del sistema operativo lanzado en 2008 para la última 5.1.1, los investigadores de la empresa de seguridad móvil Zimperium dijo en un informe que será publicado el jueves.
Los defectos están en el camino Android procesa los metadatos de archivos de audio MP3 y archivos de vídeo MP4, y pueden ser explotados cuando el sistema Android u otra aplicación que se basa en las bibliotecas multimedia de Android una vista previa de este tipo de archivos.
Los investigadores Zimperium encontraron fallas de procesamiento multimedia similares a principios de este año en una biblioteca de Android llamada Stagefright que podrían haber sido explotados por el simple envío de los dispositivos Android un mensaje MMS creado de manera malintencionada.
Esos defectos provocados un esfuerzo parches coordinada de los fabricantes de dispositivos que ingeniero de seguridad de la ventaja de Android, Adrian Ludwig, llamado el "más grande actualización de software unificado y único en el mundo". También contribuyó a Google, Samsung y LG comprometerse con actualizaciones mensuales de seguridad de cara al futuro.
Uno de los defectos descubiertos recientemente por Zimperium se encuentra en el núcleo de la biblioteca Android llamados libutils y afecta a casi todos los dispositivos que ejecutan versiones de Android anteriores a 5.0 (Lollipop). La vulnerabilidad puede ser explotada en Android Lollipop (5.0 - 5.1.1) mediante la combinación con otro error encontrado en la biblioteca Stagefright.
Los investigadores Zimperium refieren al nuevo ataque como Stagefright 2.0 y creen que afecta a más de 1 mil millones de dispositivos.
Dado que el vector de ataque previo de MMS se cerró en las nuevas versiones de Google Hangouts y otras aplicaciones de mensajería después de las fallas Stagefright anteriores fueron encontrados, el método de explotación más directo de las últimas vulnerabilidades es a través de navegadores Web, dijeron los investigadores Zimperium.
Los atacantes podrían engañar a los usuarios a visitar sitios web que explotan la falla a través de enlaces en el correo electrónico y los mensajes instantáneos oa través de anuncios maliciosos que aparecen en sitios web legítimos.
Man-in-the-medias atacantes que están en una posición para interceptar las conexiones a Internet de los usuarios, por ejemplo, en las redes inalámbricas abiertas o por medio de routers comprometidos, podrían inyectar el exploit directamente en su tráfico Web sin cifrar.
Terceros reproductor multimedia o aplicaciones de mensajería instantánea que se basan en la biblioteca de Android vulnerables a leer los metadatos de los archivos MP3 y MP4 también podría ser utilizado como un vector de ataque, dijeron los investigadores.
Zimperium reportó las fallas a Google el 15 de agosto y los planes para lanzar una prueba de concepto de código de explotación una vez que se libera una solución.
Esa solución llegará el 5 de octubre, como parte de la nueva actualización de seguridad de Android mensual programada, dijo un representante de Google.
Google rastrea las vulnerabilidades como CVE-2.015-3.876 y CVE-2015 a 6.602. Compartió parches para ellos con socios OEM, el 10 de septiembre, junto con todas las correcciones que se incluyen en la actualización de seguridad de Octubre.
Los defectos Stagefright anteriores llevaron a los investigadores a investigar las bibliotecas de procesamiento multimedia de Android en busca de vulnerabilidades adicionales.Investigadores del proveedor de antivirus Trend Micro ya han encontrado y reportado varios problemas en estos componentes.
"A medida que más y más investigadores han explorado diversas vulnerabilidades que existen dentro de la biblioteca Stagefright y bibliotecas asociadas, esperamos ver más vulnerabilidades en la misma zona", dijeron los investigadores Zimperium en su informe."Muchos investigadores en la comunidad han dicho Google respondió a los errores que informaron diciendo que eran duplicados o que ya descubrieron internamente."
Zimperium planea actualizar su libre Stagefright Detector aplicación con la detección de los defectos una vez que los parches estén disponibles.
No hay comentarios:
Publicar un comentario