Nueva amenaza de Stagefright deja miles de millones de usuarios en situación de riesgo. El analista encuentra que parches de seguridad son demasiado lentos.
Los usuarios de Android se han convertido en “blanco fácil” para los piratas informáticos, de acuerdo con un experto en seguridad cibernética a raíz del descubrimiento de una nueva amenaza Stagefright pese a los millones que quedan sin protección contra el error inicial.
Google ya ha emitido 3 parches diferentes para combatir al llamado “la amenaza más grande en la historia de la plataforma” e incluso implementó un sistema de parcheo mensual – que sale los 5 de cada mes.
Mil millones de dispositivos Android están en riesgo de la última vulnerabilidad Stagefright, que puede atacar teléfonos inteligentes a través de archivos de canciones y videos alojados por sitios web maliciosos o aplicaciones, según Zimperium Labs, que desenterró el nuevo fallo de ayer después de descubrir el problema original de Stagefright en julio.
Mientras Stagefright necesitaba de un número de teléfono móvil de alguien para llevar a cabo un ataque, los hackers que utilizan Stagefright 2.0 pueden tomar el control de los datos y aplicaciones de alguien a través de archivos de canciones y video.
Simplemente tienen que convencer a su víctima a visitar un sitio web malicioso que controlan, y a continuación, obtener una vista previa de un archivo multimedia.
Alternativamente, los hackers en la misma red que la víctima podría inyectar la hazaña a través de un ataque man-in-the-middle, y aplicaciones de terceros, como reproductores multimedia y mensajería instantánea que podrían ser saboteado por los hackers para llevar archivos de canciones o video maliciosos.
“El atacante gana un punto de apoyo, desde donde podían realizar ataques de escalada de privilegios más locales y tomar el control completo del dispositivo“, explicó Zimperium.
Mark James, especialista en seguridad de TI en ESET, dijo que las consecuencias de tal exploit podrían ser devastadoras.
“Este código, en teoría, les permitirá acceso completo a su dispositivo lo que les permite hacer lo que quieran”, dijo. “Esto podría incluir la instalación de otro malware o simplemente cosechar sus datos para su uso en el robo de identidad.”
Pero el último fallo surgió SIN RESOLVERSE EL PRIMERO!. Millones de usuarios siguen siendo vulnerables a la primera amenaza de Stagefright, que puede hacerse cargo de los datos y aplicaciones móviles a través de mensajes de foto y video maliciosos.
Google dijo que planea emitir un parche de fijación Stagefright 2.0 el lunes 5 de octubre, pero mientras Zimperium elogió su rápida respuesta, otros han pinchado los agujeros en sus parches existentes para el bug Stagefright original.
Los expertos en seguridad de G Data contaron 440,267 nuevas amenazas de malware Android – 4.900 al día – en el primer trimestre de 2015, un aumento del 6 por ciento del cuarto trimestre de 2014.
Mientras tanto, un estudio de 2014 de F-Secure encontró el sistema operativo de Google representa el 97 por ciento de todo el malware móvil al año – desde el 87 por ciento en 2013.
En comparación, el iPhone, BlackBerry, Palm y Windows Phone representaron menos del uno por ciento del malware año pasado.