Hace tan solo unas horas Samsung ha comenzado a distribuir una nueva actualización que viene a dar solución a uno de los fallos más importantes de seguridad de los últimos años. La actualización en cuestión llega con el último parche de seguridad de mayo, un parche de seguridad que sirve como solución para varios errores presentes en los móviles de la compañía desde el año 2014 y que sido detectada por un desarrollador del programa Google Project Zero.
Este fallo de seguridad permite a los atacantes obtener el control total del teléfono sin ningún tipo de intervención por parte de los usuarios a través de un simple archivo de imagen. Por este motivo, desde el propio programa de Google recomiendan actualizar cuanto antes al último parche de seguridad publicado por ambas compañías.
Imágenes Qmage y mensajes MMS, el origen del problema
Así es. Mateusz Jurczyk, el encargado de encontrar la vulnerabilidad, creó un entorno de pruebas con varios dispositivos de Samsung. Para aprovechar el fallo de seguridad del sistema, Jurczyk envío entre 50 y 300 mensajes multimedia (MMS) con imágenes en formato Qmage (.qmg) para lograr obtener el control total del teléfono. Todo ello sin interactuar con el teléfono objetivo.
Al parecer, la compañía añadió el soporte a este formato de imagen allá por 2014. Desde entonces, millones de móviles de Samsung han estado expuestos a vulnerabilidades 0-click, un tipo de vulnerabilidad que no requiere de ningún tipo de acción por parte de la víctima, más allá de descargar el archivo que contiene el malware.
Con el envío de mensajes multimedia, el programador logró saltar esta barrera forzando la recepción de este tipo de archivos. Por la propia naturaleza del formato de imagen, el archivo original contenía líneas de código que cedían al atacante el control absoluto del sistema.
El parche de seguridad de mayo da solución a este fallo después de 6 años junto con otras 18 vulnerabilidades encontradas por la compañía. Google también ha añadido una serie de correcciones en su última actualización de AOSP: hasta 9 fallos de seguridad, que en total suman 28 vulnerabilidades. Si aún no has actualizado tu móvil Samsung a la última versión disponible, desde tuexperto.com te recomendamos hacerlo cuanto antes.
Fuente | Chromium Blog
Desde que descargué la actualización mi celular no deja de reiniciarse solo, a alguien más le ha pasado?