La multinacional coreana Samsung acaba de publicar una actualización crítica para todos sus teléfonos con Android producidos desde 2014. Es particularmente urgente que todos los usuarios afectados actualicen sus dispositivos de inmediato, más ahora que el problema de seguridad ha sido hecho público, ya que es altamente probable que desde este mismo momento los ataques intentando explotar este agujero de seguridad crezcan de manera exponencial, y puedan afectar a millones de usuarios.
En la página de actualización de seguridad, Samsung agradece al investigador Mateusz Jurczyk de Google Project Zero su investigación y el descubrimiento de la vulnerabilidad que, según él, podría explotarse para ejecutar código malicioso en un dispositivo objetivo sin alertar al usuario. En un video publicado en YouTube , el investigador demuestra cómo un hacker malintencionado podría explotar la vulnerabilidad enviando un fichero concreto al dispositivo a través de un mensaje MMS.
MS Recomienda
El archivo envenenado es una imagen personalizada de Samsung Qmage (o QMG), que aprovecha una vulnerabilidad en el código de la biblioteca del códec de imagen utilizado en los smartphones de Samsung para sobrescribir la memoria y permitir la posible ejecución remota de código.
Lo que hace que esta vulnerabilidad sea particularmente preocupante es que se puede explotar sin ninguna interacción previa con el usuario, un escenario de «clic cero» donde, por ejemplo, un teléfono vulnerable que solo genera una vista previa en miniatura de un mensaje de notificación podría quedar expuesto a un ataque.
Peor aún, incluso si no apareciera un mensaje de notificación, el smartphone emitiría un sonido al recibir el mensaje malintencionado. Según el investigador, aunque la demostración de prueba de concepto de su video no intenta ser silenciosa o sigilosa, “después de una breve experimentación, he encontrado formas de procesar completamente los mensajes MMS sin activar un sonido de notificación en Android, así que sigilosamente los ataques podrían ser posibles«.
Una vez disponibles las actualizaciones necesarias, el investigador ha publicado un artículo en el sitio web del Proyecto Cero en el que analiza lo ocurrido. En el mismo plantea que el código utilizado para manejar los archivos QMG es complejo y, por lo tanto, podría no haber sido auditado adecuadamente por posibles problemas de seguridad:
“La complejidad del códec de Qmage es muy alta: los archivos QMG pueden elegir entre una amplia gama de diferentes esquemas de compresión personalizados, cada uno de ellos manejado por una larga y oscura rutina de descompresión. Hay docenas de funciones con más de 4 kB de longitud en la biblioteca, y la función más larga (QuramQumageDecoder32bit24bit) tiene una longitud de 40 kB (!). Esto se traduce en decenas de miles de líneas de código C que probablemente nunca hayan sido objeto de mucho escrutinio en forma de una auditoría de seguridad.»
En la parte positiva, el problema afecta exclusivamente a los dispositivos de Samsung, para los que ya existen las actualizaciones necesarias. Los dispositivos con Android de otros fabricantes no se ven afectados. Además, Google Project Zero no ha lanzado su código de prueba de concepto, en su lugar ha optado por lanzar una demostración en video. Esto reduce las posibilidades de que alguien tome el código de ataque y lo adapte para sus propios fines maliciosos contra los teléfonos inteligentes Samsung no parcheados.
Por otra parte, según Jurczyk un ataque exitoso generalmente requiere que se envíen entre 50 y 300 mensajes MMS al dispositivo objetivo antes de que omita con éxito algunas de las medidas de seguridad integradas de Android. Como tal ataque toma aproximadamente 100 minutos (el tiempo real puede depender de varios factores) para tener éxito. Y lo más importante, Jurczyk informó a Samsung en enero y retrasó la divulgación pública del problema hasta esta semana, dando tiempo para que el fabricante del teléfono tuviera listas las actualizaciones.
Fuente:https://www.muyseguridad.net