Así funciona Metaphor, el exploit que secuestra un Android en 10 segundos

Stagefright fue una de las vulnerabilidades más sonadas de la historia de Android. El bug sirvió para poner en guardia a toda la comunidad ante un ataque que tomaba el control del terminal mediante un MMS.

Metaphor es el nombre que se le ha dado a una nueva encarnación de Stagefright. Permite secuestrar un dispositivo Android en 10 segundos de forma remota haciendo que los usuarios visiten una página web infectada con un archivo multimedia malicioso. La criatura ha sido descubierta por investigadores de seguridad de la firma NorthBit, que el año pasado declararon que Stagefright era “el peor bug de la historia” de Android.

En lo tocante a esta nueva versión del exploit, los investigadores de NorthBit han publicado un documento que sirve como guía. Además, también pretende enseñar a agencias gubernamentales a programar un Stagefright propio. Por si fuera poco, según se recoge existen vulnerabilidades críticas en los procesadores Qualcomm que dejan a mil millones de dispositivos con riesgo de infección.

Desde NorthBit se ha remitido una demostración en vídeo de cómo funciona Metaphor, hackeando un Nexus 5 en tan sólo 10 segundos. También habrían conseguido lo mismo con éxito en los Samsung Galaxy S5, LG G3 y HTC One.

Así funciona Metaphor

El proceso que han seguido los investigadores para conseguir tomar el control de cualquier Android vulnerable funciona de la siguiente manera:

• Se engaña a la víctima a que visite una web que contiene un archivo de vídeo infectado. Este archivo de vídeo afecta al software del servidor multimedia de Android, restableciendo su estado interno.
• En cuanto el servidor multimedia se reinicia, el código JavaScript presente en la web maliciosa manda información del dispositivo de la víctima al servidor del atacante.
• El servidor del atacante manda entonces un archivo de vídeo personalizado para el dispositivo afectado, explotando el bug Stagefright para revelar mayor información del estado interno del dispositivo.
• Esta información también se envía al servidor del atacante para crear otro archivo de vídeo embebido con malware. Cuando es procesado por Stagefright empieza a actuar en el terminal de la víctima, con todos los privilegios que necesita para espiar a su propietario.

Los hallazgos de los investigadores funcionan en versiones de Android 2.2 a la 5.1. Si tienes Android 6.0 instalado en tu terminal ya no eres vulnerable a este bug.

Google premiará aún más a las páginas web que se adecúan al móvil 

A partir de mayo se incrementará el efecto que tiene la optimización móvil de los sitios en la clasificación de los resultados de búsqueda.

Ya lo venía haciendo, pero a partir de mayo Google Search premiará con mayor fuerza a aquellas páginas web que muestran su contenido igual de bien para los ordenadores que para los dispositivos móviles.

Y es que, como explica Google en uno de sus blogs, la experiencia de búsqueda no debería variar según el terminal utilizado para la navegación. Los usuarios siempre deberían tener acceso a webs que resultan agradables de consultar, sin importar el momento ni el lugar.

Es por eso que, en cuestión de semanas, la compañía de Mountain View incrementará el efecto que tiene la optimización móvil de los sitios en la clasificación final de los resultados de búsqueda. Esto es, en los resultados específicos de las búsquedas que se realizan desde un smartphone o tableta.

Google también ha querido aclarar que la calidad del contenido seguirá pesando a la hora de trazar el ranking. Esto quiere decir que una página no responsive que entregue contenido relevante todavía tendrá posibilidades de quedar bien posicionada a pesar del cambio de algoritmo.

Recordemos que el pasado mes de febrero Google comenzó a mostrar entre los resultados destacados de la búsqueda móvil aquellas webs que han sido creadas con AMP, que cargan más rápido.

YouTube nació originalmente como una página de citas al estilo Tinder, pero fracasó

Hoy no seríamos capaces de imaginar Internet sin el popular portal de vídeos, pero el servicio que ha acabado con la televisión tradicional no comenzó como creemos. Uno de sus fundadores, Steve Chen, ha revelado un dato muy curioso sobre sus orígenes. YouTube pretendía ser una página web de citas en vídeo.

Sí, YouTube iba a ser algo parecido a lo que hoy es la aplicación Tinder. Chen ha explicado en una charla durante el festival SXSW que la intención inicial era que los usuarios colgaran pequeños vídeos hablando de sí mismos y de sus intereses. A modo de ejemplo, los creadores de YouTube colgaron un vídeo en el que uno de ellos, Jawed Karim, habla de sí mismo durante apenas 20 segundos. El vídeo se titula “ Me at the Zoo” (Yo en el zoo). Karim aparece en el zoo de San Diego hablando de los elefantes y de sus trompas (de sus largas, largas trompas) y acaba con un “And that’s pretty much all there is to say.

De repente, todos los datos curiosos sobre los orígenes de YouTube encajan perfectamente. El propio Chen explicaba hace tiempo que el nombre de dominio lo registraron “tres amigos aburridos en el día de San Valentín”. Hasta el propio nombre de la página tiene sentido. ¿Referencias a largas trompas? Poco fino, pero comprensible. ¿Botones de me gusta y no me gusta? Sin duda necesarios. El primer vídeo de la historia de YouTube tiene ahora mucho más sentido del que tenía... y también es, inexplicablemente, mucho más turbio.

El discurso sobre largas trompas de Karim tuvo muy poco éxito. Cinco días después, nadie había colgado un solo vídeo, así que sus creadores decidieron abrir la plataforma a cualquier tipo de contenido. Una compañía llamada Google compró YouTube en 2006 por 1.600 millones de dólares y el resto es historia.