La seguridad en los dispositivos Android es algo que siempre está en entredicho. En algunas ocasiones con razón y, en otras, no tanto. El caso es que no hace mucho tiempo se conoció que existía una vulnerabilidad llamada Stagefright que, de forma potencial afectaba al 95% de los terminales con el sistema operativo de Google.
El caso es que gracias al agujero Stagefright los hackers tiene la posibilidad de acceder a la información que se tiene en los teléfonos y tablets con una acción tan sencilla como el abrir un vídeo que llega mediante un mensaje MMS -de ahí que recomendaciones como el utilizar de forma segura los terminales, sea importante, y nos referimos al abrir mensajes de personas que no se conozca, por poner un ejemplo-. Por lo tanto, no es necesario complicados procesos para que se pueda conseguir la información (cada vez mayor y más importante) almacenada en los dispositivos móviles.
Esto, como hemos indicado, ha hecho reaccionar a dos de las compañías más importantes en el “Universo Android”, como son Google y Samsung. Y, de esta forma, los dos gigantes han comunicado que comenzarán con un proceso de actualizadores de seguridad mensuales para solventar lo que puede ocurrir con Stagefright y otro tipo de malware que vaya apareciendo. Una buena iniciativa, no cabe duda, a la que esperamos que se vayan añadiendo otras compañías que utilizan el sistema operativo de los de Mountain View. LG y otros fabricantes también han comunicado ciclos de parches más frecuentes.
Primeros pasos
A la espera de movimientos adicionales, Google ha sido la primera en moverse y ha dejado las imágenes para siete de sus dispositivos Nexus con las correcciones necesarias para que Stagefright no les afecte. Estas son las que tiene el código LMY487I. Por su parte, Samsung ya ha comenzado con su trabajo y los Galaxy S5 y Galaxy Note 4 de AT&T también ya reciben sus correspondientes firmware (incluso, Alcatel ha indicado que en breve el Idol 3 tendrá su propio parche). El caso, es que en muy poco tiempo se lanzará vía OTA las actualizaciones necesarias para corregir el problema del que estamos hablando.
Sea como fuere, lo cierto es que esta medida es positiva para los usuarios, ya que no cuesta absolutamente nada instalar actualizaciones mensuales en los terminales Android, en especial si es para corregir vulnerabilidades ahora que los teléfonos y tablets se han convertido en verdaderos compañeros de viaje. Por cierto, se ha comunicado que Google está suministrando el código necesario para que la corrección para Stagefright llegue lo antes posible a todos los fabricantes de dispositivos que utilizan Android.
Qué es Stagefright y por qué es tan crítica
Stagefright es el nombre de una librería multimedia del sistema Android encargada de procesar audio y vídeo. La investigación de Joshua Drake (Zimperium zLabs) reveló múltiples vulnerabilidades críticas en esa librería que podían permitir ejecución remota de código con privilegios elevados tras procesar contenido malicioso. Inicialmente se habló de siete fallos principales, y posteriormente se identificaron más vectores asociados.
El vector más mediático fue el MMS: un atacante puede enviar un mensaje multimedia manipulado que, dependiendo de la app de SMS/MMS, podría ejecutarse sin interacción. Con apps que preprocesan automáticamente los MMS, el dispositivo podría quedar comprometido incluso antes de abrir la notificación; con clientes que no los preprocesan, el riesgo aparece al visualizar el mensaje.
La historia no termina ahí: la investigación posterior demostró que también era posible atacar vía web o con archivos MP3/MP4 preparados de forma especial explotando metadatos, e incluso a través de aplicaciones de terceros que integran esa librería. En redes compartidas, un atacante podría intentar inyectar un exploit mediante técnicas de tipo MITM. El sistema integra defensas como ASLR que dificultan la explotación, pero no la impiden por completo.
¿Es tu Android vulnerable? Cómo comprobarlo y protegerte
Para ayudar a los usuarios, Zimperium publicó Stagefright Detector App, una herramienta que verifica si tu terminal es vulnerable, qué CVE concretas le afectan y si necesitas actualizar. Según el propio proveedor, algunos fabricantes aplicaron parches parciales, por lo que este tipo de utilidades resultan útiles para validar el estado real de tu dispositivo. Los resultados de detección se comparten de forma anónima con fabricantes y operadoras a través de su alianza para acelerar la llegada de parches.
Mientras tanto, hay medidas prácticas que reducen riesgos asociados a Stagefright y a problemas similares:
- Desactiva la recuperación automática de MMS tanto en la app Mensajes como en Hangouts u otras apps de SMS/MMS, para evitar el preprocesado de adjuntos.
- Evita abrir enlaces sospechosos o descargar audio/vídeo de fuentes no confiables; mantén tu navegador actualizado y desconfía de redes Wi-Fi públicas sin cifrado.
- Comprueba periódicamente si hay actualizaciones OTA disponibles; instala todos los parches de seguridad en cuanto aparezcan.
Cadena de parches y fragmentación: por qué algunos tardan más
En Android, la actualización de seguridad suele seguir una cadena: Google publica el código, los fabricantes lo integran en sus firmwares y, en muchos casos, las operadoras validan antes de distribuir al usuario final. Este proceso explica por qué no todos los modelos reciben el parche al mismo tiempo y por qué algunos dispositivos antiguos o de gamas específicas pueden quedar sin actualizar. Para aliviar esta situación, Google y varios OEM han instaurado ciclos de parches mensuales y compromisos de soporte más prolongados en sus gamas principales.
Además, iniciativas como separar cada vez más componentes del sistema de la capa base permiten mitigar riesgos con menos dependencias. Aun así, la mejor protección pasa por mantener tus dispositivos al día, limitar la exposición a adjuntos y enlaces no confiables y monitorizar el estado de vulnerabilidades conocidas con herramientas de diagnóstico.
Stagefright marcó un antes y un después: evidenció la necesidad de respuesta rápida, empujó a los principales actores a establecer parches periódicos y concienció sobre buenas prácticas de uso. Si tu móvil recibe las actualizaciones OTA y aplicas las medidas de prudencia indicadas, el riesgo se reduce de forma significativa sin perder de vista que la seguridad es un proceso continuo.