El mayor fallo de seguridad jamás detectado en Android, bautizado como «Stagefright 2.0», ha provocado que más de mil millones de dispositivos Android sean vulnerables a este «bug» que permite instalar «malware» a través del procesamiento de archivos multimedia.
Esta es la escalofriante cifra de terminales afectados que los expertos en seguridad han dado a «The Guardian». El fallo, cuya primera versión fue descubierta el pasado mes de julio, permite que un ciberdelincuente pueda entrar en el dispositivo de cualquier persona con el simple envío de un archivo que no hace falta ejecutar o descargar.
«La visita a un sitio web o la vista previa de un archivo de canción o vídeo infectados podría permitir al atacante acceder al dispositivo móvil de la víctima y ejecutar un código remoto», explica en «The Guardian» Mark James, especialista en seguridad de ESET NOD32. De esta manera, los atacantes pueden hacer lo que quieran. «Tienen acceso completo al dispositivo», recuerda, por lo que pueden instalar otro «malware» o robar sus datos para suplantar la identidad de la víctima.
Con el primer fallo, «Stagefright», los «hackers» podían hacerse con un «smartphone» Android mediante un archivo multimedia especialmente diseñado para ser entregado a través de MMS. Sin embargo, «Stagefright 2.0» es la segunda vulnerabilidad detectada que permite al ciberdelincuente hacerse con el teléfono de cualquier persona, incluidas personalidades públicas, a través de un MP3 o MP4.
«La primera vulnerabilidad afectó a casi todos los dispositivos Android desde la versión 1.0 lanzada en 2008», recuerda el experto, pero «Stagefrigth 2.0» afecta a la versión Android 5.0 o superiores y pasa más desapercibido: «La primera versión de Stagefright requería de algún tipo de información del usuario, es decir, un número de móvil para poder enviar el mensaje de texto al dispositivo», ha explicado Mark James. Pero «esta nueva versión no necesita tener información alguna del usuario para tener éxito. Permite el acceso a un público mucho más amplio y, de hecho, podría permitir el acceso a más de mil millones de dispositivos Android», ha añadido.
La vulnerabilidad afecta incluso a los teléfonos inteligentes que han tenido el gusanillo Stagefright , como los dispositivos Nexus de Googley series Galaxy S6 de Samsung.
Según «The Guardian», Google fue notificada el pasado mes de agosto de este error, ha reconocido los agujeros de seguridad y ha calificado la situación de «crítica» porque existe «la posibilidad de ejecución de código remoto como el servicio MediaServer, que tiene acceso a los flujos de audio y vídeo, así como el acceso a los privilegios que las aplicaciones de terceros normalmente no tienen», explica el experto.
Los errores deben ser parcheados con las actualizaciones de seguridad que Google lanza para sus teléfonos Nexus, así como el resto de compañías para sus propios dispositivos, como son los casos de LG o Samsung.