Vulnerabilidad grave en el motor multimedia de Android
Zimperium Labs ha publicado dos vulnerabilidades graves relacionadas con el motor de reproducción de ficheros multimedia (audio y video) incluido en los dispositivos Android.
Se podrían ejecutar comandos en el dispositivo de forma remota al reproducir ficheros de video (MP4) o sonido (MP3).
Recursos afectados
El fallo de seguridad afectaría potencialmente a todas las versiones de Android.
Solución
Como el problema está en la reproducción de este tipo de contenidos, nuestro consejo es evitar en la medida de lo posible hacerlo hasta que se publique alguna solución al mismo. Es posible que no tengamos otro modo de reproducir los archivos si no es con el dispositivo afectado, por lo que , hay que tener especial cuidado con estos ficheros:
- Descargar solo de sitios de confianza.
- Cuidado con los ficheros que nos llegan vía correo, mensajería, redes sociales de desconocidos.
- Si sospechamos de algún fichero, lo descartaremos.
- Si necesitamos reproducirlo, convertirlo primero a otro formato y luego lo pasamos a nuestro Android para reproducirlo.
Detalles
El fallo de seguridad reside en la librería “libutils” que pertenece al motor de reproducción multimedia Stagefright. Este fallo podría ser explotado mediante la creación de un fichero en formato MP3 o MP4 manipulado de forma maliciosa para que pudieran ejecutar comandos en el dispositivo y realizar una serie de acciones con el mismo, como resultado podrían robar datos, aumentar los privilegios aprovechando alguna otra vulnerabilidad etc. Es un problema grave.
Este motor multimedia ya ha presentado otras vulnerabilidades en julio de 2015, reportadas también desde nuestro servicio de avisos como una manera de comprometer la seguridad de dispositivos Android a través de mensajes MMS.
¿Te gustaría recibir estos avisos en tu correo electrónico? Anímate y suscríbete a nuestro servicio gratuito de boletines. Serás el primero en enterarte de las últimas noticias de actualidad, problemas y ataques en materia de seguridad.