Una vez más, Android y sus vulnerabilidades vuelven a salir a la luz, en este caso se trata de Stagefright 2.0, una variable del Stagefright original descubierta hace unos meses. El fallo detectado es de suma gravedad ya que no necesita que el usuario interactúe con ningún tipo de archivo, permite la ejecución de código remoto y la escalada de privilegios, lo cual hace que el atacante tome el control del dispositivo móvil sin el consentimiento del usuario.

Allá por el mes de Julio, Joshua Drakelos, del grupo de investigadores de Zimperium Mobile Security hizo una predicción sobre Stagefright, ya sea ellos, u otros investigadores, encontrarían nuevas vulnerabilidades en este motor de reproducción perteneciente a Android. Y como si de brujería se tratase, luego de que Google parchea la vulnerabilidad original, se descubre al poco tiempo dos nuevos fallos de seguridad (CVE-2015-6602 y CVE-2015-3876), con las mismas características que la vulnerabilidad original. La primera corresponde a la primera versión de Android, mientras que la segunda se introdujo en las versiones 5.0. Actualmente está afectando a todas las versiones de Android, inclusive la 5.1.1.

Si vamos a los riesgos causados por las vulnerabilidades, tanto Stagefright 2.0 como su antecesor causan el mismo daño para el usuario, se diferencian en que el vector de ataque para la primera vulnerabilidad fue parcheado por parte de Google. En caso de que un atacante logre explotar el fallo de seguridad, puede ejecutar código malicioso de forma remota y así escalar privilegios dentro del dispositivo, de esta manera puede hacerse con el control total del aparato en cuestión teniendo acceso a datos personales, fotos, videos, grabar conversaciones, ver mensajes, instalar aplicaciones, y una infinidad de posibilidades más.

Desde la firma Zimperium, responsables del descubrimiento de ambas variables de la vulnerabilidad, afirman que la nueva versión encontrada es tan peligrosa como la descubierta meses atrás.

El equipo de investigadores de Zimperium ya reportó las dos nuevas vulnerabilidades a Google y desde el gigante de internet se dio una solución en forma de parches a sus socios. Google, que actuó rápidamente, como no podía ser de otra manera ya que la vulnerabilidad era crítica, tiene una actualización de seguridad programada para el 5 de octubre que a su vez coincide con el lanzamiento de la versión final de Android 6.0. De ahora en adelante, será cuestión de tiempo para que cada fabricante comience a lanzar los parches de seguridad en forma de actualización, si llegado el día no tienes ninguna notificación, revisa manualmente las actualizaciones de tu equipo, aunque no todos los fabricantes proveerán la actualización el mismo día.

Como la manera de explotar la vulnerabilidad todavía es un secreto para los cibercriminales, no hay que alarmarse tanto, pero lo cierto es que es algo muy grave. Zimperium detalla que no publicará los datos técnicos de su descubrimiento hasta que los dispositivos cuenten con la actualización pertinente y estén protegidos.

También explicaron que planean actualizar su aplicación gratuita Stagefright Detector, que permite identificar este tipo de defectos en el sistema operativo de cada dispositivo.