Si sois vulnerables a Stagefright, os enseñamos cómo proteger vuestro dispositivo Android. La firma de seguridad Zimperium destapó hace muy poco la mayor vulnerabilidad en Android en años, que afecta a alrededor del 95% de dispositivos Android y que permite a los hackers tomar control de vuestros dispositivos con un simple mensaje multimedia (MMS). Los detalles de este exploit no han sido publicados, pero lo que sí sabemos es que nuestros dispositivos son vulnerables a 6 variantes del exploit distintas. A este exploit se le ha dado el nombre de Stagefright, y nosotros vamos a enseñaros cómo funciona y cómo protegeros de él.
Tabla de contenidos
¿Cómo funciona Stagefright?
La premisa es muy simple: el atacante tan sólo necesita hacerse con vuestro número de teléfono para hacerse con el control de vuestro dispositivo Android mandando un mensaje MMS con el código malicioso insertado en él. Esto significa, en teoría, que un hacker puede mandarnos un mensaje multimedia durante la noche, hacerse con el control de nuestro teléfono y después borrar todo rastro de su presencia mientras nosotros seguimos durmiendo.
Una vez el troyano se ha instalado, el atacante puede leer nuestros mensajes, conseguir nuestros credenciales para cualquier página y aplicación, activar el micrófono de nuestro dispositivo y acceder a cualquier archivo de nuestro teléfono. En otras palabras: tendría acceso a todo mandándonos una sola foto.
¿Qué dispositivos se ven afectados?
Este ataque en particular se aprovecha de un agujero en la seguridad de la biblioteca multimedia de Android, Stagefright. Stagefright ha sido la biblioteca de Android durante los últimos 5 años, por lo que afecta a cualquier teléfono Android que tenga desde Android 2.2 Froyo hasta Android 5.1.1 Lollipop.
Si queréis saber si vuestro dispositivo es vulnerable, y a cuántas variantes del exploit estáis expuestos, en este tutorial explicamos cómo hacerlo.
¿Cuándo llegará al parche oficial?
Google ya se ha encargado de añadir un arreglo al exploit Stagefright en el código base de Android, pero esto no significa que estemos a salvo. Teniendo en cuenta cómo funcionan las actualizaciones de Android, es posible que aún tengamos unos buenos 6 meses de incertidumbre; así que habrá que estar protegidos, ¿no creéis?
Cómo proteger tu dispositivo para prevenir los ataques
Dado que el exploit funciona enviando MMS que se descargan automáticamente en nuestro teléfono, la única manera de prevenir el ataque es configurar tu teléfono para que no descargue automáticamente los mensajes MMS. Lo malo es que entonces tendremos que descargar manualmente todos los archivos, pero es un pequeño precio a pagar por nuestra seguridad.
El proceso varía dependiendo de los teléfonos, pero es bastante sencillo.
Aplicación de mensajes de Samsung
Si utilizáis la aplicación instalada de mensajes en vuestro dispositivo Samsung, tendréis que ir a Ajustes > Más ajustes > Mensajes Multimedia. Ahí podréis deshabilitar la opción de Recuperar automáticamente para asegurarnos de que nuestro dispositivo ya no es vulnerable.
Aplicación de mensajes de Google
Dentro de esta aplicación, pulsad los tres puntos verticales del menú e id a Ajustes. De ahí, elegid Avanzados y deshabilitar la opción de Recuperar automáticamente.
Hangouts de Google
Si utilizáis Hangouts también podéis deshabilitar la opción de la Recuperación automática de MMS. Para ello, abrid el Menú > Ajustes y deshabilitáis la opción de Recuperación automática de MMS, que sólo está disponible si es vuestra aplicación de mensajería por defecto.
Otros dispositivos
¿Y cómo protegemos otros dispositivos? En general, lo que tenemos que hacer es conseguir llegar a los Ajustes de mensajería de nuestro dispositivo y deshabilitar la opción. Yo he probado a hacerlo en un BQ Aquaris E5, donde la opción está bastante escondida, y esto es lo que tenéis que hacer:
- Id a Ajustes.
- Desde Ajustes acceded a Administración de la tarjeta SIM > Opciones de mensajes.
- Baja un poco hacia abajo y asegúrate que la opción Recuperar automáticamente está deshabilitada.
Esto debería asegurarnos la protección relativa de nuestro dispositivo, per hasta que no salga una solución oficial os recomendamos tener cuidado con los mensajes multimedia que provengan de teléfonos desconocidos. ¡Más vale prevenir que lamentar!
