¡Actualiza! Un simple vídeo sirve para hackear las tres últimas versiones de Android

Telefonía

Si tenemos un móvil Android con las versiones 7.0, 8.0 o 9.0, es decir, las tres últimas disponibles bajo los nombres de Nougat, Oreo o Pie, debemos instalar las últimas actualizaciones de seguridad (en caso de estar disponibles, claro está). Si no lo hacemos, corremos el riesgo de que nuestro teléfono móvil pueda ser hackeado con un simple video modificado especialmente por conseguirlo. Esto es culpa de la última vulnerabilidad descubierta en las tres últimas versiones de Android.

La vulnerabilidad en las tres últimas versiones de Android ha sido etiquetada como CVE-2019-2107 y permite a los ciberdelincuentes ejecutar código arbitrario de forma remota en el terminal móvil “colando” un simple vídeo malicioso creado para este propósito. Una vez que la víctima abre el vídeo, un fichero que puede recibir por email, por WhatsApp o por redes sociales, el atacante ha conseguido acceso al dispositivo y es libre de hacer lo que quiera.

Alerta de seguridad en las tres últimas versiones de Android

Marcin Kozlowski, un desarrollador, ha colgado una prueba de concepto en GitHub en la que dice literalmente “Puedes hacerte con el control del móvil viendo el vídeo con el payload incorporado”. De nuevo, recalca que estos ficheros nos pueden llegar de muchas formas, además del problema de que se ejecutan por defecto en reproductor nativo de Android salvo que hayamos cambiado el comportamiento.

Disqus hackeada

El ataque es efectivo, pero no es sencillo. En primer lugar, el vídeo debe ser abierto por la víctima en su formato original. Algunas personas están debatiendo sobre la posibilidad de subirlo a YouTube u otras plataformas de vídeo online y hacer correr el enlace. Sin embargo, desde ESET confirman que, si subimos el vídeo a estas plataformas o lo recodificamos, el ataque dejará de ser efectivo.

Google ha solucionado el problema: ¡Actualiza ya!

Por suerte, hablamos de un problema que ya ha sido solucionado por Google. La corrección de seguridad fue lanzada con los parches de seguridad de Android correspondientes al mes de julio. En aquel momento, se hablaba únicamente de una vulnerabilidad severa que permitía a un atacante remoto ejecutar código en el terminal a través de un fichero creado expresamente para ello.

Ahora, sabemos que se trata de un simple archivo de vídeo que nos puede llegar por varias fuentes o aplicaciones y que es muy probable que abramos sin darnos cuenta. Según las estimaciones, 1.500 millones de dispositivos con una de estas versiones (Nougat, Oreo o Pie) deberán comprobar que tienen actualizado el dispositivo.

Escrito por Claudio Valero

Fuente > thenextweb

Continúa leyendo
  • Reader_2019

    en estos casos es complicado y mas cuando tengo entendido que las actualizaciones no dependen 100% del sistema operativo sino del fabricante e incluso del operador movil, como no pasa por ejemplo en los pc con windows que sin importar el fabricante del pc, es la misma microsoft la que gestiona las actualizaciones sin intermediarios. Y pues en el caso de los celulares, mas de un fabricante se raja en actualizaciones y en especial si no se tratan de equipos gama alta. Y cuando el fabricante actua, el filtro llega al operador movil. Asi que a final de cuentas, el usuario siempre es el perjudicado.

    • Exacto, Xiaomi saca updates cada 3 meses, ahora está cerca de salir el nuevo update del Miui, así que para aplicar este parche tocara esperar a finales de año por noviembre o diciembre. Ahora, lo de Microsoft es incorrecto, si sale un bug no lo ponen de inmediato, tardan bastante en sacarlo, no tanto como un mes pero si una semana o dos y eso suponiendo que no falle y retrasen las actualizaciones como es la de Mayo de Wn 10 que aun está a la espera de salir xD, aunque Windows por mucho que tapen sigue siendo un agujero de virus y ladrones. Con la misma quien no te dice que el fallo es FALSO y se trata de un update para que Google logre obtener más datos de tu smartphone?

      • ilfyff

        Yo ya paso de Bq que nos ha mentido a la cara durante meses (si siguen así serán 2 años) porque prometieron (y siguen prometiendo) que le meterían Android 8 a varios modelos de móviles, y ahora que la ha comprado la compañía vietnamita ya ni están sacando parches de seguridad (que antes al menos cada 2 o 3 meses sacaban alguno). Qué vergüenza.

        Me acabo de pasar a Xiaomi, que calidad/precio es casi imbatible, y por lo que estoy viendo, por lo general actualizan al menos 2 versiones grandes.

        • Lo de BQ no es nada nuevo. Yo me compre el Aquaris 5 de salida. mencionaron que actualizarían a 4.4 Kit kat y luego a Android 5, el 4.4 llego pero con muchos fallos y el 5 nunca llego. El 4.4 quedo abandonado con muchísimos fallos y así han ido repitiendo el procesado en todos sus smartphones.

          Xiaomi no es excepción. Calidad/Precio, es CHINO así que no esperes nada más del Made in China. la calidad de los materiales es baja, actualice el mismo día que comente (viernes) al miui 10.3.5.0 (salio justamente el mismo día por este error de seguridad) y sorpresa…. toma colección de BLOATWARE, que cabrones. Encima decían ciertas funciones nuevas pero he ido al menú donde están y no hay nada. MENTIROSOS. Aparte tienen el foro y no solucionan nada, del Reset a fabrica, Hard-Reset y SAT no salen.

          Son iguales que BQ, prometen lo que no harán nunca. Aparte, todo lo que utilizas te pide acceder a todas las funciones del smartphone, para que quiere el visor de imágenes acceder a mis contactos, gps, etc…? y así con todo. Y luego encima tiene lo de la «Telemetria» copia todos los datos del Smartphone y los manda a una IP de China. Me gasto 1 GB de datos las dos primeras semanas con el «marco de servicios de Xiaomi» que recopila y manda datos a la IP China y lo descubrí porque aparece en el consumo de datos de Vodafone ya que el móvil no lo marca.

  • Hartower

    «Por suerte, hablamos de un problema que ya ha sido solucionado por Google.»

    Por desgracia hablamos de Android y todos sabemos el espejismo de seguridad que ofrece. Como se dice en otro comentario, salvo contados casos la actualización llegará mas muy tarde que tarde o, en un elevado porcentaje de casos, no llegará.