Una brecha de seguridad en todos los teléfonos inteligentes Samsung desde 2014 | Diario del friki
hace 5 años
Se recomienda a los usuarios de teléfonos inteligentes Samsung que instalen rápidamente la actualización de seguridad de mayo de 2020. Corrige una vulnerabilidad de seguridad potencialmente muy peligrosa.
A finales de 2014, todos los teléfonos inteligentes Samsung son compatibles con el formato Qmage (.qmg). Pequeño problema, este formato presenta una vulnerabilidad crítica detectada por Mateusz Jurczyk, un investigador de seguridad miembro del equipo de Project Zero en Google. Apropiadamente explotado, un pirata informático puede instalar malware en un dispositivo de marca sin llamar la atención del usuario.
Una vulnerabilidad corregida
El modo de funcionamiento de esta falla consiste en eludir las protecciones ASLR (Address Space Layout Randomization) que sirven como baluarte para la biblioteca de Android Skia. El sistema operativo dirige todas las imágenes enviadas a un teléfono inteligente a esta biblioteca, que se encarga de su procesamiento (por ejemplo, para crear miniaturas).
El investigador envió un MMS al teléfono inteligente objetivo que contenía malware incrustado en una imagen de Qmage. El ataque no es inmediato: se necesitan entre 50 y 300 mensajes para que sea efectivo (se necesitan cien minutos en promedio para "descifrar" el ASLR). Para no despertar las sospechas de su víctima, el hacker puede hacer arreglos para que no se emita ningún ruido al recibir el MMS.
Dado que la biblioteca de Skia lanza sus tratamientos sin que el usuario lo sepa, el malware una vez instalado se puede instalar sin que este último se dé cuenta (esto se denomina vulnerabilidad de “clic cero”). Los intentos del investigador se realizaron con la aplicación Samsung Messages, pero cualquier aplicación que use Skia podría potencialmente ser atacada.
Mateusz Jurczyk informó la falla a Samsung en febrero, que pudo corregirla mediante una actualización de seguridad.
Si quieres conocer otros artículos parecidos a Una brecha de seguridad en todos los teléfonos inteligentes Samsung desde 2014 | Diario del friki puedes visitar la categoría Artículos.
Otras noticias que te pueden interesar