Metaphor, nuevo exploit que hackea tu Android en 10 segundos

exploit metapor Stagefight

El verano pasado fue descubierta una vulnerabilidad en Stagefright y sembró el pánico entre los usuarios de Android: el agujero de seguridad de la librería para analizar archivos multimedia afectaba al 95% de los dispositivos y permitía que un terminal fuese hackeado con un sólo mensaje. 

Ahora, un equipo de investigadores de la firma de seguridad NorthBit ha descubierto Metaphor, un nuevo exploit que tiene la capacidad de aprovechar la vulnerabilidad de Stagefright. A través de este sistema, es posible que un atacante hackee tu terminal Android de manera remota en tan sólo diez segundos. 

De acuerdo al informe de los investigadores de seguridad, los atacantes pueden secuestrar el terminal de una forma muy sencilla. A continuación enumeramos los pasos que se siguen durante el proceso:

  • En primer lugar, los criminales engañan a la víctima para que visite una página web que contiene un archivo multimedia malicioso.
  • Una vez que el fichero ha sido descargado en el móvil, se ejecuta un código malicioso que tiene la capacidad de restablecer el estado interno del dispositivo. 
  • Después, el servidor del atacante envía un archivo de vídeo generado a medida para el smartphone que se quiere secuestrar. Es en este punto en el que explota el bug de Stagefright para obtener más información sobre el estado interno del dispositivo. 
  • Por último, esta información se envía al servidor del atacante, mediante la que podrá controlar el smartphone de una forma sencilla. 

Stagefright cambiará para siempre la seguridad en Android

Los investigadores de NorthBit aseguran que este exploit es el peor que se ha descubierto jamás. Para demostrarlo, han difundido el vídeo que puedes ver a continuación, en el que se puede ver cómo hackean un Nexus 5 a través de Metaphor en un intervalo de sólo diez segundos. Además, también lo han probado con éxito en el Samsung Galaxy S5, el LG G3 y el HTC One. 

[Fuente: Fossbytes]