A finales del pasado mes de julio se hizo público que una vulnerabilidad de Android afectaba al 95% de los terminales del mercado, y que permitía introducirse en el sistema a través de MMS. Google y los fabricantes han trabajado y lanzado actualizaciones que lo solucionan, y ayer la empresa de seguridad que lo descubrió lo publicó.

Zimperium, la empresa de seguridad responsable de haber descubierto la debilidad, hizo público en su blog el código para realizar el ataque con el fin de que cualquiera pueda realizar test de seguridad. La compañía hizo esto después de haber dado a Google y los fabricantes varios meses para trabajar en una solución y tras haber retrasado varias veces su publicación a petición de Mountain View y sus socios.

Stagefright fue descubierto el pasado abril, cuando Zimperium lo comunicó a Google de forma privada, para darse a conocer al público finales de julio. Este exploit se encontró en el framework de un proceso, Stageright, relacionado con la gestión del contenido almacenado en nuestro dispositivo y la forma en la que gestiona el contenido de los mensajes.

Google reacciona con actualizaciones mensuales

Se trata de una debilidad que puede explotarse conociendo únicamente el número de teléfono de la víctima y que permite introducir un troyano en el sistema operativo a través de un MMS y luego eliminar el mensaje, de forma que el atacante puede permanecer dentro del sistema sin que el propietario tenga ni idea.

Cómo protegerse de Stagefright

A principios de agosto Google actualizó los dispositivos Nexus, algo que también hizo Samsung y más tarde han hecho otros fabricantes. Stagefright obligó a Google a ponerse las pilas y prometer actualizaciones mensuales con tal de mejorar la seguridad de su sistema operativo, algo que esperemos que sea seguido por la mayoría de marcas ya que son las que llevan la mayoría de terminales Android al mercado.

Vía Arstechnica