Foro de PreparaTIC29

Hola,

La pregunta

65.
De entre los siguientes sistemas operativos para dispositivos móviles, indique cuál está afectado por la vulnerabilidad Stagefright:
a)
Windows Phone
b)
Blackberry
c)
iOS
d)
Android

Dan como respuesta correcta la d), sin embargo no parece claro que también pudiera ser la b) Blackberry, según algunas páginas web.

En concreto en http://forums.crackberry.com/blackberry ... e-1031981/ en un post indican que:

Statement from BlackBerry regarding StageFright:

BlackBerry is aware that certain applications report that BlackBerry 10 devices are affected by the vulnerabilities known as “StageFright”. Only some of these issues affect the Android Runtime on BlackBerry 10 devices. MMS messages are not interpreted by the Android Runtime by default. Additionally, BlackBerry 10 is not vulnerable to the StageFright ASLR bypass.

Although these vulnerabilities represent a low risk to BlackBerry 10 customers, we are planning to remediate any vulnerable code in future updates.

Thanks,
BBSIRT

Estoy intentando buscar más información, para poder asentar la reclamación a la pregunta. ¿Alguien con más información?

Gracias

Hola oposicjj,

esta pregunta es de las que dejé en blanco y por tanto no fue hasta después del examen que supe lo que era Stagefright. De lo que leí me pareció entender que el "bug" venía de una librería interna del SO Android, libstagefright en concreto (y de ahí el nombre). Por lo que considero que la solución está bien.

A partir de aquí, ignoro si Blackberry oficialmente utiliza esa misma librería para su SO, pero no me parece muy probable. Otra cosa es que los usuarios de "crackberry" hagan pirulas para insertar módulos android en las blackberrys y de esta manera pudieran portar el bug de uno a otro. En este caso, el problema me sesguiría pareciendo de android.

Así lo veo yo...

Por lo que dice ese texto, el ataque afectaría al runtime de Android en BlackBerry 10. No sé si el sistema operativo lo lleva por defecto (que podría ser) o lo han metido algunos usuarios. En cualquier caso, estaría afectando a la parte Android no a BlackBerry. De hecho, dice: "BlackBerry 10 is not vulnerable to the StageFright ASLR bypass" y es ahí donde reside la vulnerabilidad que da lugar al ataque.

Por cierto, este tema lo han sacado recientemente en una guía de seguridad para dispositivos móviles del CCN:

http://administracionelectronica.gob.es ... tVZK8dQ0XA

Es cierto.
Yo estuve dudando xq sabia del problema en Blackberry y no la respondí.
La veo impugnable al 100%.

Hola.
Pues yo creo que la respuesta dada es la correcta
El fallo afecta a la librería libStageFright de SO Android, y el informe de octubre de 2015 del CCN-STIC Seguridad en móviles, dice que Stagefright afecta a versiones Android entre 2.2 y 5.1.1
Aunque pueda afectar a dispositivos blackberry porque utilicen Andrioid, el fallo sigue siendo propio del SO Android, no del SO de blackberry (la pregunta decía a qué SO afecta)
Al menos, esa es mi opinión
Saludos

Copio y pego del CCN-STIC Seguridad en móvile

ANEXO I – MITIGACIÓN DE VULNERABILIDAD STAGEFRIGHT
StageFright ha sido calificada como la vulnerabilidad más crítica en la historia de Android. Ésta afecta a las versiones de Android comprendidas entre la 2.2 y la 5.1.1, esto representaba el 95% de los dispositivos Android en septiembre de 2015.
Para explotar la vulnerabilidad basta con que un atacante envíe un MMS dañino al número de teléfono de la víctima, de este modo podría tomar instantáneamente el control remoto del sistema. Esto sucede ya que Android, por defecto, descarga automáticamente los ficheros multimedia adjuntos a un mensaje.

mjlpbfgpgr escribió:Hola.
Pues yo creo que la respuesta dada es la correcta
El fallo afecta a la librería libStageFright de SO Android, y el informe de octubre de 2015 del CCN-STIC Seguridad en móviles, dice que Stagefright afecta a versiones Android entre 2.2 y 5.1.1
Aunque pueda afectar a dispositivos blackberry porque utilicen Andrioid, el fallo sigue siendo propio del SO Android, no del SO de blackberry (la pregunta decía a qué SO afecta)
Al menos, esa es mi opinión
Saludos