Consejos para no ser víctima de StageFright para Android

Hace unos días salía a la luz la que se ha denominado como la mayor vulnerabilidad para Android hasta la fecha, el “Heartbleed” de los dispositivos móviles. Un fallo de seguridad de la librería StageFright permite a un atacante hacerse con el control de los dispositivos Android. Prácticamente de cualquiera, ya que la vulnerabilidad afecta al 99% de los dispositivos con el sistema operativo de Google. El malware se distribuye mediante un mensaje multimedia (MMS) enviado a cualquier aplicación de mensajería que pueda procesar un formato de vídeo específico, como la app de mensajes nativos de Android, Google Hangouts o WhatsApp.

Expertos en seguridad y empresas de seguridad se han volcado en alertar sobre los peligros de esta vulnerabilidad y cómo proteger los dispositivos Android de los usuarios. Desde el blog de Avast por ejemplo ofrecen las instrucciones para evitar ser víctima de algún ataque. Y es que las aplicaciones de mensajería más comunes de Android cargan los vídeos de forma automática. Uno de los consejos para protegerse es desactivar la función de descarga automática en la mensajería por defecto, para que los vídeos no se carguen en segundo plano e infecten el dispositivo.

Cómo desactivar la opción de descarga automática

Desactiva la descarga automática de mensajes multimedia. Capturas facilitadas por Avast.

En primer lugar, hay que abrir la aplicación de mensajes y acceder a los ajustes.

Una vez en el panel, pinchamos en “mensajes multimedia” y desactivamos la opción de descarga automática (auto retrieve) de los mensajes. 

Esta misma secuencia se puede aplicar para otras aplicaciones como Google Hangouts, Messaging para Android o WhatsApp.

whatsapp stagefright android

En el caso de la aplicación de mensajería instantánea propiedad de Facebook, hay que acceder al menú de “Auto descarga de medios” dentro de los “ajustes de chat”, En este caso, da la opción de activarlo o desactivarlo cuando estamos usando datos móviles o conectados a una red Wi-Fi. Por defecto, está habilitada la descarga automática de vídeos cuando estamos conectados a una red inalámbrica. Hay que desactivar esta opción, y asegurarse de que también está desactivada en el caso de los datos móviles.

Desde la firma de seguridad Fortinet también recomiendan deshabilitar esta opción automática de descarga de mensajes MMS en las aplicaciones que gestionan este tipo de mensajes. Además, recomiendan actualizar el sistema operativo. Existen parches de algunas versiones más populares del sistema operativo, como el parcheado en CyanogenMod versiones 12.0 y 12.1, el de BlackPhones con PrivatOS versión 1.1.7 o las actualizaciones para teléfonos Google Nexus.

Los códigos internos de Android se han actualizado tras la publicación de esta incidencia de seguridad, pero la actualización de los diferentes modelos de teléfonos dependerá de la reacción de cada fabricante que utiliza este sistema operativo. Desde Fortinet advierten: es posible que muchos dispositivos Android no sean actualizados.

Los detalles técnicos del exploit todavía no están claros y habrá que esperar hasta la conferencia BlackHat, donde los revelarán los expertos de la firma de seguridad.

Algunas de las claves de la vulnerabilidad Stagefright:

  • La firma de seguridad móvil Zimperium descubrió una vulnerabilidad en la librería de Android “Stagefright”, que es responsable de procesar distintos formatos de medios.
  • El escenario más peligroso del ataque es un mensaje que usa el formato MMS, que puede ser procesado con la ayuda de la librería Stagefright.
  • Cuando la víctima recibe el mensaje malicioso, la aplicación responsable de gestionar los mensajes muestra una vista previa del mensaje en la zona de notificaciones. De esta manera consigue que el código vulnerable se active en el teléfono.
  • La vulnerabilidad está considerada como crítica, ya que afecta al dispositivo sin que haya interacción por parte del usuario.Además, en este caso, el mensaje recibido puede ser eliminado, sin dejar huella del intento de ataque en la víctima del teléfono.
  • Todo lo que necesita el cibercriminal es el número de teléfono de la víctima y que el dispositivo Android ejecute la versión 2.2 o posterior.
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s