miércoles, julio 29, 2015

StageFright: ¿Alguien necesita los MMS en Android?

Con la llegada de BlackHat y Defcon todos los años la actualidad en el mundo de la seguridad informática y el hacking se acelera. Tanto, que casi no llegamos a tiempo de procesar todas las noticias que van surgiendo para entender los detalles de cada una de ellas. En esta ocasión le toca el turno a StageFright, nombre molón que ha recibido este bug - no tanto porque los investigadores hayan querido buscar un alias cool a su investigación sino - porque es la librería de Android que se ve afectada por los bugs que explotarán en su próxima presentación en Las Vegas. Eso sí, logo tenemos uno guay.

Figura 1: StageFright ¿Alguien necesita los MMS en Android?

Para hacer corta la explicación, el bug permite la ejecución arbitraria remota de código en cualquier dispositivo Android no parcheado por medio de un mensaje MMS malicioso. Esto, para los que no entienden la sutileza de los eufemismos en seguridad informática, viene a significar que cualquier atacante te puede enviar un mensaje MMS a tu dispositivo Android y, sin que tú hagas nada, el atacante va a poder ejecutar un programa que será un software de control remoto de tu dispositivo (una R.A.T. "Remote Administration Tool") que le servirá para que tu Android sea parte de una botnet o para meterte una shell y ejecutar comandos a gusto, o para meter un software de espionaje del dispositivo.

El bug de StageFright en Android

Dicho esto, aunque los investigadores han hecho un Responsible Disclosure y han comunicado todo antes a los ingenieros de Google para que lo solucionen - ya están parcheadas las últimas versiones -, aún se han hecho públicos los detalles técnicos para sacar un exploit que pueda ser utilizado en frameworks como Metasploit y, lo que va a ser peor, en plataformas de spyware com Hacking Team RCS o FinSpy de FinFisher, es lo que tiene.

Sin embargo, no habrá que esperar mucho y seguro que ya alguno ha dado con ello, pues se sabe que la librería está escrita en C++ y se trata de un problema en la gestión de la memoria - como no -, algo que los que se dedican a hacer exploiting de Linux sabrán como localizar en breve.

Proteger tu Android contra StageFright

La fragmentación que hay en Android hará que al final, muchos de las versiones de los sistemas operativos quedarán sin parche oficial, así que tendrás que tomar medidas para solucionarlo. Algunas de ellas pasan por buscar una alternativa como CyanogenMod para conseguir actualizar el dispositivo móvil a pesar de que no exista una distribución oficial del fabricante y las otras... por matar el MMS en tu dispositivo.

Al final, la felicidad es saber valorar lo bueno que hay en una relación y no dejar que lo que no tienes te impida disfrutar de todo lo que sí que tienes. En Android tienes infinidad de formas de comunicarte con mensajes, como WhatsApp, SMS, Facebook Messenger, Line, WeChat, Kik Messenger o SpotBros por citar algunos, por lo que ... ¿quién va a echar de menos al MMS?

Figura 3: Deshabilitar carga automática de MMS en Android Messaging

Si tienes un terminal Android tienes que conseguir desactivar los MMS, desactivar la carga automática de MMS - para que sí que haya necesidad de que sea manualmente la cargar de los mismos -, desactivar la recepción de envío de MMS desde remitentes desconocidos o si no... quitar las apps de mensajería que uses y poner la clásica Android Messaging que sí que lo permite, tal y como explican en Naked Security.

Figura 4: Deshabilitar carga automática de MMS en Hangouts de Android

Ten por seguro que, en cuanto se publiquen los detalles del bug, habrá muchos haciéndose botnets de Android con este exploit. ¿Estás listo para vivir sin MMS y disfrutar del resto de cosas que existen para enviar y recibir mensajes en Android? El bug es crítico pero el punto dónde se produce es prescindible.

Actualización: Investigadores de Trend Micro apuntaron nuevas formas de explotar este bug, mediante un archivo multimedia enviado por cualquier canal y reproducido por el usuario e incluso mediante un correo electrónico en HTML que lanzara la ejecución, así que parchea... o sufre.

Saludos Malignos!

23 comentarios:

  1. Hola, perdona es que no sé si te entendí bien. Para evitar el hackeo, ¿es suficiente con desactivar la carga automática de MMS o debo hacer algo más? Gracias

    ResponderEliminar
  2. Correcto, al parecer este es un típico buffer overflow, el cual es explotado por medio de MMS, que al recibirlo con código maligno provoca un desbordado de memoria, logrando así inyectar código arbitrario en el terminal. Y por lo entendido desactivando la recepción automática de MMS o completamente la caracteristica es suficiente para estar a salvo. Saludos.

    ResponderEliminar
  3. No es que desactives el hackeo (De hecho no se ha llevado a cabo aun) esto es como un enviar y recibir, si lo tienes en modo automático es como si el atacante enviara una solicitud y tu le das acceso sin necesidad de estar consciente. Salu2

    ResponderEliminar
  4. Chema
    Ayer cuando leí la descripción técnica de la vulnerabilidad en un foro en ingles, entendí que la explotación seria posible desde cualquier elemento multimedia o stream que leas desde Android, porque se pasa el control a la librería vulnerable siempre en estos casos, no solo en el caso de los MMS.
    Puedes confirmármelo?
    Yo entendí que seria vulnerable a una video malintencionado recibido por whatsapp, aunque no lo leí directamente así

    ResponderEliminar
  5. lo mismo entendi yo, que al previsualizar un video se le pasara el control a la libreria magica y agur yogur

    ResponderEliminar
  6. Jherom Chacon29/7/15 1:22 p. m.

    Correcto. Deshabilitar MMS no evitaría la vulnerabilidad del todo pero por lo menos es algo, se reduce bastante el vector de riesgo porque dejaría de ser un ataque directo para convertirse en un ataque donde media tu participación.

    En todo caso mantener las mismas reglas de siempre como no consumir multimedios de sitios raros...

    Pero me sigue pareciendo que puedes seguir expuesto hasta con reproducir un video que te envíen por whatsapp....

    ResponderEliminar
  7. La manera más simple de evitar MMS es eliminar el APN de MMS de la lista de APN

    ResponderEliminar
  8. Chema que debo hacer si ya me han infectado?

    ResponderEliminar
  9. Android es seguro porque usa Linux y Linux es seguro.
    Alluh Ackbar.

    ResponderEliminar
  10. Lamento molestaros pero estoy bloqueado. Have 2 dias cometí la estupidez de dejar entrar en mi ordenador un virus llamado "Criptlocker" que me ha encriptado todos los archivos de mi ordenador. Además me piden dinero para darme la clave para desencriptarlos. No pienso pagar claro. ..
    Alguien me puede ayudar? Alguien ha podido recuperar los archivos al padecer este virus? Gracias

    ResponderEliminar
    Respuestas
    1. Formatealo,cambiarle el discoduro y la RAM

      Eliminar
    2. Este comentario ha sido eliminado por el autor.

      Eliminar
    3. Este comentario ha sido eliminado por el autor.

      Eliminar
  11. Hola Juan.
    No creo que este sea el sitio adecuado para su consulta, pero le doy algunas ideas ya que entiendo que el problema es importante. Existen diversas versiones de Cryptolocker, cada una con un funcionamiento distinto y en muy pocas se pueden descifrar los archivos cifrados.
    Doy por supuesto que no tiene copia de seguridad de los archivos, así que lo mejor que puede hacer es intentar recuperar las "Shadow Copies" de Windows como se describe en este enlace
    http://webeducativa.net/cryptolocker.php

    Si esto no fuera efectivo puede probar con herramientas de recuperación de archivos eliminados, pero este método es menos efectivo.

    Tiene mucha más información sobre este virus en el enlace http://www.bleepingcomputer.com/virus-removal/cryptolocker-ransomware-information
    Si todo falla pruebe a leer la documentación de esa página por si la versión de Cryptolocker que le ha infectado tuviera alguna solución.

    Un saludo.

    ResponderEliminar
  12. saludos me gustaria saber si me podrian ayudar o asesorar como crear el stagefright malware o un ndice de qe nomas se trata pa coknseguir los codigos y hacer la codificacion personal

    ResponderEliminar
  13. please me resp a este correo claro es alterno x motivos sociales kainos17343@hotmail.com
    si tengo alguna otra informacion aparte te la hare saber la codificacion es lo que deseo de ese malware para ver si se puede hacer algo

    ResponderEliminar
  14. Hola Chema, leo en tú articulo que el bug de StageFright solo afecta a las aplicaciones que manejan los MMS, mediante el envió de MMS maliciosos.

    Pero también estoy leyendo que afecta a whatsapp en artículos como este de avast https://www.avast.com/en-us/faq.php?article=AVKB230 he buscado información sobre este tema pero no me queda claro. Mi busca de información ha empezado tras leer este artículo http://www.xatakandroid.com/moviles-android/estos-son-los-smartphones-de-motorola-que-se-actualizaran-para-parchear-stagefright donde mencionan el tema de whatsapp. Podrías indicarme que hay de cierto en lo que se refiere a que whatsapp esta afectado por StageFright tú que estas mas metido en estos temas.

    Un Saludo y Gracias por tu tiempo

    ResponderEliminar
  15. Hombre y si yo estoy del lado del mal y deseo usar este fallo para tomar el control de un movil? como puedo hacerlo? he entrado aqui y pregunto esto porque el nombre del blog me dice que puedo hacerte esa pregunta! como puedo usar stagefright?

    ResponderEliminar
  16. ¿Explotado por los MMS? Según otros blog de seguridad el problema está en liberias que usan los MMS para previsualizar el contenido multimedia, y por tanto cualquier aplicación que realice estas funciones es potencialmente objetivo para "StageFright".

    ¿O acaso si se envía una video diseñado para explotar la vulnerabilidad a través de Telegram o Whatsapp, no se consigue explotar?

    Yo creo que el MMS fue usado por el descubridor como mero ejemplo de una via de explotar el fallo sin requerir ser contacto de alguien, ni que el usuario tenga que realizar ninguna acción. Sin embargo un mero enlace a un video malintencionado puede explotarlo, solo que el usuario sí debe abrirlo.

    ResponderEliminar
  17. Como puedo crear ese archivo para enviarlo por mms

    ResponderEliminar
  18. Se puede meter spyware en un MMS o foto y monitorear o controlar tu Mvl . Si no amplias la foto no suelen actuar lo malo que es que toques la foto y se apmlie . En line, Whasapp o en fotos de perfil . Si no conoces a alguien es mejor que no mires su perfil o si estas en chas de line o Whasapp no tocar la foto y ampliarla por eso actuara en tu Mvl . Y un vídeo por supuesto que te infecta por que lo reproduces pero si no lo ves no pasa nada . Estos MMS o Fotos las suelen vender en la deep web ya hechos pues si los elaborase tu corres el riesgo de dejar rastro en esa foto .... No soy Hack ni se lo que eso de estagefrihg. Yo se que se puede pero no entiendo buestro lenguaje informático y esas cosas ....

    ResponderEliminar
  19. Se puede meter spyware en un MMS o foto y monitorear o controlar tu Mvl . Si no amplias la foto no suelen actuar lo malo que es que toques la foto y se apmlie . En line, Whasapp o en fotos de perfil . Si no conoces a alguien es mejor que no mires su perfil o si estas en chas de line o Whasapp no tocar la foto y ampliarla por eso actuara en tu Mvl . Y un vídeo por supuesto que te infecta por que lo reproduces pero si no lo ves no pasa nada . Estos MMS o Fotos las suelen vender en la deep web ya hechos pues si los elaborase tu corres el riesgo de dejar rastro en esa foto .... No soy Hack ni se lo que eso de estagefrihg. Yo se que se puede pero no entiendo buestro lenguaje informático y esas cosas ....

    ResponderEliminar