Hanan Be’er, un investigador de seguridad para la marca israelí NorthBit, ha desarrollado un exploit totalmente funcional que consigue aprovechar de alguna forma las vulnerabilidades de Stagefright que pueden comprometer los dispositivos Android. Los investigadores de seguridad de Zimperium descubrieron la vulnerabilidad de Stagefright el pasado mes de agosto, haciendo que Google comenzara a ofrecer actualizaciones de seguridad mensuales para los dispositivos Nexus en el mes siguiente. Google intentó arreglar el problema de Stagefright el pasado mes de septiembre, pero un arreglo incompleto por parte de la compañía y la aparición del exploit Stagefright 2.9 han hecho que el problema se haya vuelto aún peor, dándole más notoriedad. Ahora, más de medio año después de que apareciese Stagefright, NorthBit ha lanzado los detalles sobre una rutina de un exploit que pueden ayudar a aplacar los problemas que da Stagefright en el componente Android Medieserver para comprometer a otros dispositivos por completo. El exploit fue fabricado encima de otro exploit parcial de código lanzado tanto por Zimperium, la compañía que descubrió el problema original, y por Google. El escenario de ataque de Northbit es bastante simple. Un atacante necesita engañar al usuario para que acceda a una web donde se guarda una imagen o video malicioso. Puesto que Stagefright corrompe los dispositivos Android cuando lee los metadatos de los archivos multimedia, un sólo solo necesita acceder a la web del atacante para exponerse al mismo.
El exploit tarda un tiempo en ejecutarse
La parte positiva es que los ataques llevan algo de tiempo en ejecutarse porque necesitan pasar por tres fases distintas. La parte negativa es que las conexiones móviles son siempre lentas, y la mayoría de los usuarios esperarán. Además, el ataque se puede llevar a cabo cuando el usuario ya está viendo otro video mucho más largo. Durante la primera fase, una imagen o video malicioso que contiene el código exploit fuerza al componente Mediaserver del usuario a reiniciarse, lo que permite que el atacante guarde información sobre cada usuario diferente.
Utilizando la información recogida del dispositivo, el servidor del atacante generará un video personalizado para cada víctima, que será más potente que la primera vez y funcionará con acceso a la root. De ese modo, el atacante podrá recabar información del dispositivo o instalar spyware o cualquier otro tipo de malware. Este nuevo exploit, llamado Metaphor, funciona en Android 2.2 a través de 4.0, pero también en Android 5.0 a través de 5.1, incluso si estas versiones nuevas tienen protección ASLR.
