Una sola imagen puede hackear tu Android ¡Actualiza!

Esto es un no parar, bendita tecnología.

Junto con las vulnerabilidades denominadas Quadrooter que fueron descubiertas y afectaron a más de 900 millones de dispositivos Android, Google ha parcheado un error crítico previamente desconocido que podría permitir a los atacantes ocultarse tras una imagen de aspecto inocente en las redes sociales o aplicaciones de mensajería instantánea.

De hecho – y es lo más preocupante -, no hay necesidad de que la víctima haga clic en la foto maliciosa ya que, tan pronto como los datos de dicha imagen son analizados por el teléfono el atacante puede, de forma remota y silenciosa, tomar el control sobre el dispositivo o simplemente acabar con el.

La vulnerabilidad es similar al famoso Stagefright (que afectó a más de 950 millones de dispositivos) el cual permitía a los atacantes secuestrar los dispositivos Android con un simple mensaje de texto sin que los dueños de ellos fuesen conscientes.

A diferencia de esta última que se encontraba en el hardware del dispositivo, la nueva vulnerabilidad (CVE-2.016-3862) reside en la forma en que las distintas aplicaciones Android analizan los metadatos de las imágenes, ha explicado el descubridor del fallo, Tim Strazzere, de SentinelOne.

Por tanto, cualquier aplicación Android que use Java ExifInterface es vulnerable.

¿Cómo puedo evitar convertirme en víctima?

Todas las versiones del sistema operativo Android de Google desde la 4.4.4 hasta la 6.0.1 son vulnerables al “hackeo por foto” a excepción de la actualización que han publicado hoy.

Sí, Google ha publicado hoy un parche para solucionar el problema de Quadrooter y, dentro de el, se encuentra la solución a esta vulnerabilidad. El problema reside en que ahora, las compañías responsables de la fabricación de los dispositivos, deben implementar esta actualización a sus dispositivos por lo que no se sabe cuando tendrán lista la actualización. únicamente estas a salvo si eres un usuario de un Nexus.

Strazzere ha recibido 8000 dólares por parte de Google como parte del programa de recompensas de Android. Puede que os parezcan mucho, pero en caso de habérselo vendido a los ciber-amigos-de-lo-ajeno, muy probablemente ni sus nietos hubiesen tenido que trabajar. El precio de la honradez.