Podría permitir que un atacante remoto ejecute código arbitrario
¿Estás utilizando un dispositivo Android?
¡Ten cuidado! Debes tener más cuidado al reproducir un vídeo en tu teléfono inteligente descargado desde cualquier lugar de Internet o recibido por correo electrónico.
Esto se debe a un archivo de vídeo de inocuo aspecto especialmente diseñado puede poner en peligro tu teléfono inteligente Android, gracias a una vulnerabilidad crítica de ejecución remota de código (RCE) que afecta a más de mil millones de dispositivos que ejecutan el sistema operativo Android entre las versiones 7.0 y 9.0 (Nougat, Oreo o Pie).
La vulnerabilidad crítica de RCE (CVE-2019-2107) en cuestión reside en el framework de medios de Android que, si se explota, podría permitir que un atacante remoto ejecute código arbitrario en un dispositivo específico.
Para obtener el control total del dispositivo, todo lo que debe hacer un atacante es engañar al usuario para que reproduzca un archivo de vídeo especialmente diseñado con la aplicación de reproductor de vídeo nativa de Android.
Aunque Google ya lanzó un parche a principios de este mes para abordar esta vulnerabilidad, al parecer millones de dispositivos Android aún esperan la última actualización de seguridad de Android que deben ser entregadas por sus respectivos fabricantes.
"La vulnerabilidad más grave en esta sección [framework de medios] podría permitir que un atacante remoto utilice un archivo especialmente diseñado para ejecutar código arbitrario en el contexto de un proceso privilegiado", Google describió la vulnerabilidad en su Boletín de seguridad de Android de julio.
Lo que hace que el problema sea más preocupante es que el desarrollador de Android con sede en Alemania Marcin Kozlowski ha subido a Github una prueba de concepto (PoC) para este ataque.
Aunque la PoC compartida por Kozlowski, un vídeo codificado por HEVC, solo bloquea el reproductor multimedia, puede ayudar a los potenciales atacantes a desarrollar sus ataques para lograr RCE en dispositivos específicos.
Sin embargo, debe tenerse en cuenta que si dichos vídeos maliciosos se reciben a través de una aplicación de mensajería instantánea como WhatsApp o Facebook Messenger o se cargan en un servicio como YouTube o Twitter, el ataque no funcionará.
Esto se debe a que estos servicios generalmente comprimen vídeos y recodifican archivos multimedia que distorsionan el código malicioso incrustado.
Es difícil estimar cuántos dispositivos están en riesgo, pero Google se jactó de que en mayo de 2019 había más de 2.5 mil millones de teléfonos Android activos. De estos, casi el 58 por ciento (alrededor de 1.5 mil millones) están ejecutando versiones de Android susceptibles a esta vulnerabilidad, según el panel de distribución de Google.
La mejor manera de protegerse de este ataque es asegurarse de actualizar tu sistema operativo móvil tan pronto como esté disponible el último parche.
Mientras tanto, se recomienda evitar descargar y reproducir vídeos aleatorios de fuentes no confiables y seguir las prácticas básicas de seguridad y privacidad.
