En julio, un reporte encendió las alarmas por una importante vulnerabilidad de seguridad en Android: un problema en una librería de archivos de la plataforma permitiría realizar ataques a través de SMS (mensajes de texto) y MMS (mensajes multimedia). La falla, bautizada como “Stagefright” (nombre de la librería) generó una rápida reacción de Google, que liberó la solución a los fabricantes de teléfonos para que la enviaran a los usuarios.
Pero el problema no terminó ahí. Hoy la compañía de seguridad Zimperium informó dos nuevas vulnerabilidades “Stagefright” que permitirían que atacantes accedan al dispositivo de un usuario a través de archivos MP3 o MP4.
Según detallan, se trata de un problema de procesamiento de metadata de canciones o videos, por lo que con solo abrir una vista previa del archivo, el código malicioso entra en acción e infecta el equipo. Esto también incluye situaciones en que el archivo es abierto en un sitio web o en una aplicación de terceros para reproducir música, ya que usan las mismas librerías de Android. Además un atacante podría inyectar el código si es que está conectado en la misma red.
Zimperium habla de dos vulnerabilidades. La primera impacta a equipos con la versión 1.0 de Android en adelante y la segunda afecta a los que usan la edición 5.0 en adelante. La gran cobertura de la falla hace que el número de potenciales afectados sea importante: estimaciones de la compañía a Motherboard indica que serían entre 950 y 1.400 millones de dispositivos vulnerables. “No te puedo decir que todos los teléfonos son vulnerables, pero la mayoría lo es”, aseguró Zuk Avraham, fundador y jefe de tecnología de Zimperium a Motherboard.
La firma de seguridad asegura que informó esta situación a Google en agosto y que la compañía liberará una solución en el boletín de seguridad de su línea Nexus de la próxima semana. Lamentablemente, esto significa que por ahora la solución tendrá un alcance bajo, y será responsabilidad de cada fabricante enviar la solución a sus clientes.