Una aplicación maliciosa o una página web puede ser usada para bloquear dispositivos Android, en algunos casos persistentemente, debido a una vulnerabilidad en un componente de procesamiento multimedia.

El anuncio por parte de los investigadores de Tren Micro viene días después de que otra falla en procesamiento de medios fuera revelada. Esas fallas podrían permitir a atacantes comprometer dispositivos con un simple mensaje MMS.

La última vulnerabilidad está ubicada en un componente del servidor de medios de Android, específicamente en el modo en el que el servicio maneja los archivos del contenedor de video Matroska (MKV), dijeron los investigadores de una entrada de blog.

Cuando se explota la vulnerabilidad, el dispositivo se vuelve silencioso y deja de responder, ningún sonido de tono o notificación se escucha y no es posible iniciar o aceptar llamadas. Además de ello, la interfaz del usuario puede empezar a tornarse lenta o completamente inutilizable y, si el teléfono está bloqueado, no puede ser desbloqueado, comentaron los investigadores.

El defecto puede aprovecharse de dos maneras: a través de aplicaciones maliciosas que contengan un archivo MKV modificado o navegando en una página web con un video MKV específicamente diseñado embebido en la página.

"La primera técnica puede causar efectos a largo plazo en el dispositivo: una aplicación con un archivo MKV embebido que se configure a sí misma para autoreiniciarse cada vez que el dispositivo encienda puede causar que el sistema operativo se bloquee al encenderlo", dijeron los investigadores de Trend Micro.

El efecto del exploit basado en la Web no es persistente y el dispositivo puede ser reiniciado y restaurado a su operación normal. Sin embargo, el exploit basado en la Web funciona incluso si Chrome para Android está configurado para no precargar o reproducir automáticamente archivos de video, notaron los investigadores.

Trend Micro reportó el fallo en mayo, pero Google le asignó una prioridad baja.

Un grupo de atacantes que podrían abusar de sus defectos son los creadores de ransomware. Algunas aplicaciones de ransomware intentan evitar que los usuarios usen sus teléfonos hasta que paguen por el rescate. Esta vulnerabilidad lograría ese mismo efecto, pero los usuarios serían más propensos a pagar el rescate, dijeron los investigadores de Trend Micro.

La falla afecta a todos los teléfonos con Android 4.3 (Jelly Bean) y versiones superiores, incluyendo la última actualización, Android 5.1.1 Lollipop, presente en más del 50% de los dispositivos Android, de acuerdo con las estadísticas de Google Play de junio.

No está claro si Google ya creó un parche de seguridad para este problema o si ya lo compartió con los fabricantes de los dispositivos. La compañía no respondió inmediatamente al Request for Comments (RFC) del asunto.

Ningún parche de seguridad ha sido lanzado al Android Open Source Project (AOSP), concluyeron los investigadores de Trend Micro.