Stagefright: Un año después – Zimperium

miedo escénicoExploit2 Ha pasado exactamente un año desde que Joshua J. Drake, nuestro vicepresidente de investigación y explotación de plataformas de zLabs, miedo escénico revelado – una de las peores vulnerabilidades de Android hasta la fecha. Miedo escénico impactó a casi mil millones Total de dispositivos Android y hasta 850 millones los dispositivos siguen siendo vulnerables a partir de marzo de 2016. Stagefright brinda a los atacantes, armados solo con el número de teléfono de la víctima, una forma de usar mensajes MMS especialmente diseñados para ejecutar código malicioso para obtener el control completo de su dispositivo. ¿La peor parte? En algunos escenarios, las vulnerabilidades no requieren que la víctima realice ninguna acción para que el código malicioso se ejecute en sus dispositivos.

Entonces, ¿qué ha sucedido en el último año?

  • 27 de julio de 2015: vulnerabilidad Stagefright divulgada públicamente
  • 1 de agosto de 2015: se anunció la alianza de teléfonos Zimperium
  • 5 de agosto de 2015: herramienta detectora Stagefright lanzada
  • 13 de agosto de 2015: Google lanzó el primer boletín mensual de seguridad de Android
  • 1 de octubre de 2015: Zimperium lanzó el segundo conjunto de vulnerabilidades Stagefright que procesan medios MP3/MP4
  • Octubre de 2015: Samsung lanzó el primer boletín de seguridad mensual que muestra a los proveedores siguiendo el ejemplo
  • 22 de marzo de 2016: Zimperium anunció que el 42,84 % de los dispositivos Android siguen siendo vulnerables a CVE-2015-3864
  • 9 de mayo de 2016: FCC y FTC iniciaron una investigación conjunta para determinar cómo y cuándo las actualizaciones de seguridad del sistema operativo Android de Google llegaron a los usuarios

El descubrimiento de Stagefright envió una onda de choque a través de todo el ecosistema móvil. gigantes de seguridad saltó a bordo con su propio mensaje de «yo también» y investigadores de todo el mundo mostraron hazañas de trabajo y trabajos de investigación en el miedo escénico servidor multimedia.

Stagefright incluso hizo que los mayores fabricantes de equipos originales y desarrolladores de sistemas operativos móviles reevaluaran cómo se actualizaban los dispositivos móviles. Comenzando con el error Stagefright inicial, Google se movió rápidamente para proporcionar un parche de seguridad y actualizar sus aplicaciones Hangouts y Messenger para eliminar el procesamiento automático de medios. También presentó mensualmente Boletines de seguridad de Androidcon otros proveedores (incluidos Samsung y LG) pronto siguiendo su ejemplo. Esto trajo una estandarización muy necesaria a Android, algo que no había sucedido antes.

Además de los problemas que revelamos el año pasado, las vulnerabilidades relacionadas con multimedia han aparecido en todos los Boletines de seguridad de Nexus/Android desde su creación en agosto pasado. El Boletín de seguridad de Android más reciente de julio incluyó 17 vulnerabilidades que afectaron al servidor de medios entre los 107 CVE mencionados. Esto trae el número total de Androide vulnerabilidades reveladas a 357 en el último año.

Mientras que Google tiene invertido fuertemente para mejorar la seguridad de Android, estos parches sirven de poco si no llegan a los usuarios finales. Desafortunadamente, este suele ser el caso gracias al proceso de actualización fragmentado de Android que depende de los fabricantes y operadores de teléfonos para implementar las actualizaciones. Para abordar los retrasos y problemas asociados con la propagación de parches de Android, Zimperium formó el Alianza de teléfonos Zimperium (ZHA), que es una asociación de diferentes partes interesadas en intercambiar información y recibir actualizaciones oportunas sobre temas relacionados con la seguridad de Android. Si bien más de 25 de los principales fabricantes de equipos originales (OEM) de dispositivos Android y operadores inalámbricos se han unido a la ZHA y han logrado grandes avances en la mejora del proceso de implementación de parches, el hecho es que muchos usuarios nunca recibirán las actualizaciones que necesitan para estar completamente protegidos.

Además de este problema, las tasas de adopción de nuevas versiones de Android son muy lentas, con solo el 13,3 por ciento de los dispositivos ejecutando Android Marshmallow (6.0) desde su lanzamiento hace casi un año. Si esta tendencia continúa, Android Nougat solo se usará en aproximadamente la misma cantidad de dispositivos el próximo año. Esto nos preocupa porque los dispositivos obsoletos no se beneficiarán de la mayoría de las mejoras que Google ha realizado en respuesta a nuestra investigación (y la de otros) relacionada con el procesamiento multimedia.

Como los retrasos en las actualizaciones de seguridad aparecieron en los titulares, la Comisión Federal de Comercio y la Comisión Federal de Comunicaciones se involucró. El 9 de mayo de 2015, las agencias iniciaron una investigación conjunta para determinar cómo y cuándo las actualizaciones de seguridad del sistema operativo Android de Google llegaron a los usuarios (y por qué se ha tardado tanto). la FCC declaración señaló específicamente a Stagefright como un ejemplo del «creciente número de vulnerabilidades asociadas con los sistemas operativos móviles que amenazan la seguridad y la integridad del dispositivo de un usuario».

¿Se pregunta si su dispositivo es vulnerable? Puede verificar si es vulnerable al conjunto original de vulnerabilidades que lanzamos en mediaserver y libstagefright, así como a otros errores corregidos en la última versión de Android. Descargar Zimperium Detector de miedo escénico herramienta disponible en la tienda Google Play. Hasta el momento, más de 500 000 personas usan la aplicación para ver si sus dispositivos son vulnerables.

Hace un año, sabíamos que la vulnerabilidad de Stagefright era alarmante, pero nunca podríamos haber anticipado el alcance y el impacto que sigue teniendo. Si bien todavía tenemos más trabajo por hacer, enviamos nuestro más sincero agradecimiento a Google y a los numerosos fabricantes y operadores que han tomado medidas para hacer que nuestro ecosistema móvil sea más seguro.

Deja un comentario