Hace unos días, Metasploit añadió un módulo para
aprovechar una vulnerabilidad en el sistema operativo para móviles Android. El
exploit, desarrollado por los investigadores Joe Vennix (@joevennix) y Josh
Drake (@jduck), permite obtener el control del sistema con tan solo visitar una
página web manipulada especialmente.
Detalles e Impacto de la vulnerabilidad
La vulnerabilidad afectaría en principio a las versiones
anteriores a la 4.2 (Jelly Bean), publicada a finales de octubre de 2012. No
obstante, para observar el comportamiento de la vulnerabilidad sobre la miríada
de versiones parcheadas por los fabricantes dejaron colgada una prueba de
concepto abierta a todo aquel que quisiera (y se fiara) comprobar si su sistema
era o no vulnerable.
Descubrieron que, en consonancia con las estadísticas de
despliegue de Android, el 70% de los sistemas era vulnerable aun. Esto no
debería ser una sorpresa ya que la fragmentación del mercado de versiones de
Android es un hecho al que tanto usuarios, y en mayor medida, desarrolladores
se enfrentan desde hace tiempo. Hay que tener en cuenta que la última versión,
la 4.4 (KitKat), tan solo tiene un índice de adopción del 1,8% y fue publicada
el 31 de octubre del pasado año. El mercado tarda mucho tiempo en encajar una
nueva versión del sistema y por otro lado existe un parque de versiones
obsoletas tremendo. Si sumamos el porcentaje de versiones anteriores a la 4:
2.2 (Froyo) 1,3%, 2.3.3-7 (Gingerbread) 20,0% y 3.2 (Honeycomb) 0,1%, tenemos
un 21,4% de mercado corriendo versiones desfasadas, al menos desde el punto de
vista de la seguridad.
Para el caso concreto de esta vulnerabilidad, con un
exploit que solo necesita de unas pulsaciones de teclado para ejecutarse,
tenemos que sumar el porcentaje de las versiones 4.0.x y 4.1, el 16,1% y 35,5%
respectivamente. Casi tres cuartas partes del mercado Android.
Pero no es este el punto de vista donde debemos
quedarnos. Esa cifra en realidad no debe sorprendernos. Si mañana se
descubriese un 0-day que afectase a las últimas versiones de cualquier
navegador podríamos llegar a tasas del 90%. Lo realmente inquietante es ver
como hay una vulnerabilidad crítica que lleva casi 100 días sin que los
fabricantes hayan dispuesto un parche que la subsane. Ese es el verdadero
problema, fabricantes que tardan una eternidad en liberar nuevas versiones de
sus propias modificaciones de Android y que permanecen impasibles ante
semejante exposición de sus clientes. Solo la versión matriz de Google tiene parche publicado.
Recomendación
Recomendación
- Parche versión matriz Google (https://docs.google.com/file/d/0B3_TQgTE2uPcMkdBOExKNjh0N28/edit?pli=1)
Más información:
- Una al día (19/02/2014) http://unaaldia.hispasec.com/2014/02/android-vueltas-con-el-problema-de-los.html
Fuente: Hispasec
