Stagefright en Android: qué es, vectores de ataque, parches y cómo protegerte

  • Stagefright permite ejecución remota al procesar multimedia, con vectores como MMS, web y apps de terceros.
  • Los parches existen, pero su despliegue depende de fabricantes y operadoras; activa las actualizaciones mensuales.
  • Comprueba tu exposición con detectores de proveedores reputados y desactiva la auto-recuperación de MMS.
  • La higiene digital y el parcheo rápido reducen el riesgo en Android y en otros ecosistemas como Apple.
Iván MartínActualizado el

6 minutos

vulnerabilidad Stagefright en Android

La vulnerabilidad Stagefright parece que ha sido el punto de inflexión que se ha necesitado para que compañías muy importantes en el «Universo Android» tomen medidas serias en lo referente a la seguridad de los teléfonos y tablets. Tanto es así, que se ha anunciado que varias de ellas ofrecerán actualizaciones mensuales para solucionar este y futuros problemas. El caso es que si no sabes cómo funciona este ataque, en un vídeo puedes conocerlo.

La grabación llega desde zLabs y lo cierto es que queda muy patente que la sencillez con la que se accede al uso de diferentes apartados de los terminales con Android es grande (como por ejemplo, el poder hacer fotos con la cámara del dispositivo). Por lo tanto, es extremadamente importante ser cuidadosos a la hora de abrir mensajes MMS en los teléfonos o tablets si no son de personas de confianza -e, incluso, si es así y es posible evitarlo lo mejor es no ver el contenido de estos-. Por el momento, esta es la mejor acción posible: la prevención.

A continuación os dejamos el comentado vídeo en el que se puede ver la línea de comandos que utilizaría el hacker en cuestión y como se van dando diferentes órdenes al terminal controlado y que no está protegido frente a Stagefright:

Cómo se explota Stagefright y por qué es tan peligrosa

riesgos de Stagefright en Android

El descubrimiento fue realizado por Joshua Drake, experto de Zimperium zLabs, quien reportó múltiples fallos críticos en la librería de medios de Android conocida como Stagefright y entregó parches a Google. A través de la Zimperium Handset Alliance (ZHA) también se facilitaron correcciones a fabricantes y operadoras, aunque la distribución efectiva puede tardar, lo que deja una ventana de exposición en gran parte del parque de dispositivos.

Stagefright es crítica porque el procesamiento de contenido multimedia puede otorgar al atacante privilegios de media o de sistema tras manejar un archivo malicioso. En algunos escenarios el ataque no requiere interacción del usuario y, además, el atacante puede eliminar el MMS antes de que la víctima lo visualice. La librería tiene un volumen amplio de código y se ejecuta con permisos elevados, por lo que cualquier fallo de memoria puede desembocar en ejecución remota de código.

Aunque el vector más conocido fue el MMS, existen hasta 11 posibles vías de ataque. Entre las más probables se encuentran:

  • Navegación web: una página controlada por el atacante puede forzar la carga de un MP3/MP4 especialmente manipulado para activar la vulnerabilidad.
  • Red local (MITM): en la misma red, un adversario podría inyectar un exploit aprovechando tráfico interceptado del navegador.
  • Apps de terceros: aplicaciones que usen componentes vulnerables de Stagefright pueden procesar archivos con metadatos maliciosos.

Además, se documentó una evolución del problema conocida como Stagefright 2.0, que habilita ejecución remota al procesar metadatos de MP3 y MP4. En tal caso, bastaría con previsualizar una pista o un vídeo para que se dispare el código malicioso. Por alcance, diversas investigaciones llegaron a estimar que alrededor del 95% de los dispositivos Android resultaban potencialmente afectados en su momento, abarcando desde versiones antiguas hasta ediciones más recientes.

Soluciones en camino

soluciones para vulnerabilidad Stagefright

Esto ya lo hemos ido comentado, ya que compañías como Google, Samsung y LG ya han anunciado que irán lanzando actualizaciones mensuales para que los problemas de seguridad que se vayan produciendo sean corregidos. A buen seguro que el resto de las compañías siguen el mismo camino, ya que ataques como Stagefright son importantes y es un momento perfecto para concienciarse en ofrecer un soporte adecuado a los usuarios con teléfonos y tablets Android.

Android seguro

La realidad del ecosistema Android es que los parches viajan en una cadena de envíos: Google prepara la corrección y la envía a fabricantes; estos la adaptan a cada modelo y la trasladan a operadoras antes de llegar al usuario final. Este proceso explica por qué muchos dispositivos no reciben el parche de manera inmediata, o incluso por qué algunos equipos no llegan a actualizarse nunca. Aun así, los programas de boletines mensuales han mejorado significativamente la cadencia de protección.

Por cierto, como suele ser habitual, irán apareciendo diferentes aplicaciones que ofrecen la posibilidad de informar a los usuarios si su terminal Android es vulnerable a Stagefright e, incluso, de solucionar los problemas que se pueden tener. Lo cierto es que si no se trata de trabajos de compañías reputadas en el sector de la seguridad, lo mejor es abstenerse de utilizarlas ya que pueden ser creaciones de los propios hackers. Por lo tanto, hay que tener paciencia y esperar a las anunciadas actualizaciones -o recurrir a desarrollos completamente confiables-.

Entre las opciones serias se encuentra el Stagefright Detector creado por Zimperium: esta app comprueba si el dispositivo es vulnerable, indica qué CVE afectan y si es necesario actualizar el sistema. Sus resultados se recopilan de forma anónima para compartir estadísticas con fabricantes y operadoras a través de la ZHA, sin recolectar datos personales. Organizaciones que usan la plataforma empresarial de Zimperium pueden mitigar el riesgo sin requerir una actualización especial en cada dispositivo. Existen también verificadores publicados por otros proveedores de prestigio, como ESET.

Buenas prácticas y mitigación

  1. Desactiva la recuperación automática de MMS en la app de Mensajes que utilices. Así evitas el procesamiento silencioso de archivos multimedia potencialmente peligrosos.
  2. Mantén el sistema y las apps siempre actualizados. Instalar los parches de seguridad en cuanto estén disponibles reduce la ventana de exposición.
  3. Evita abrir enlaces sospechosos y descargas desde páginas no confiables. Un simple previo de audio/vídeo puede ser suficiente para un intento de explotación.
  4. Minimiza el uso de aplicaciones de terceros que gestionen multimedia si no son necesarias y revisa sus permisos.

Riesgos similares fuera de Android

Vulnerabilidades de la misma clase han afectado a otros ecosistemas. En los dispositivos de Apple se han publicado parches para fallos críticos en ImageIO (subsistema que procesa imágenes) que permitían ejecución remota al visualizar contenido manipulado. El aprendizaje es común: actualizar pronto y a menudo, y no asumir que una plataforma está exenta de riesgos.

La combinación de parches mensuales, verificación con utilidades de proveedores de seguridad reconocidos y hábitos prudentes al manejar MMS y archivos multimedia reduce el riesgo de manera significativa, incluso en escenarios con alta fragmentación y múltiples vectores de ataque.