Noticias

Descubren una grave vulnerabilidad zero-day en Android que ya fue parcheada en Linux

Publicado

4 octubre, 2019

por

Según el bug tracker (sistema de seguimiento de errores) de Chromium y han recogido en ArsTechnica, un miembro de Project Zero (el equipo de analistas de seguridad de Google) ha avisado que actores maliciosos están explotando una vulnerabilidad zero-day de Android que les permite obtener el control de al menos 18 dispositivos, entre los que se encuentran algunos modelos lanzados por la propia Google.

Project Zero dice que hay evidencias de que la vulnerabilidad está siendo explotada activamente, posiblemente por la polémica empresa NSO Group o alguno de sus clientes. Entrando en detalles, el exploit descubierto requiere de poca o ninguna modificación para rootear completamente los dispositivos móviles vulnerables, haciendo que la vulnerabilidad pueda ser explotada de dos maneras:

Cuando el objetivo instala una aplicación no confiable.
Mediante ataques en línea, cuando se combina el primer exploit con un segundo que apunta a una vulnerabilidad en el código perteneciente al renderizador de contenidos del navegador web Chrome.

Maddie Stone, persona que ha reportado esta vulnerabilidad zero-day de Android, ha explicado que “el fallo es una escalada de privilegios local que permite comprometer un dispositivo vulnerable de forma total. Si el exploit es entregado desde de la web, solo necesita emparejarse con un exploit localizado en el renderizador, ya que esta vulnerabilidad es accesible a través del sandbox (utilizado por Chrome).”

La vulnerabilidad ha sido etiquetada como de “severidad alta” y requiere para ser explotada en el primer caso de la instalación de una aplicación maliciosa. Por su parte, la segunda manera requiere de la encadenación de varios exploits, que es el caso del ejemplo con el navegador Chrome.

Las escaladas de privilegios son un tipo de vulnerabilidad muy común en Linux, y es ahí donde ha sido hallada la zero-day que afecta a Android. Esta vulnerabilidad fue encontrada hace tiempo y parcheada en la versión 4.14 del kernel a principios de 2018 sin que hubiera un seguimiento mediante CVE (de ahí que se la considere zero-day). Después los parches fueron portados a las versiones 3.18, 4.4 y 4.9 de Linux, pero sin que de momento haya razones lógicas que lo expliquen, nunca fueron distribuidos a través de las actualizaciones de seguridad de Android, lo que explicaría el porqué algunos modelos de smartphones Pixel se han visto afectados.

Con el fin de tener la vulnerabilidad mejor vigilada, ahora es rastreada como CVE-2019-2215 y Google ha anunciado que los correspondientes parches empezarán a ser distribuidos a partir de la actualización de seguridad de octubre. Sin embargo, la torticera política de actualizaciones de muchos fabricantes hará que muchísimo usuarios tarden en recibirlos, y eso si al final terminan recibiéndolos.

NSO Group es una empresa de origen israelí que ha recibido fuertes críticas por parte de muchos sectores e instituciones, incluida Amnistía Internacional. Estando valorada en unos 1.000 millones de dólares, está especializada en el desarrollo de “soluciones de seguridad gubernamentales contra el terrorismo y la gran delincuencia”. Sin embargo, su compromiso con los derechos fundamentales ha sido puesto en tela de juicio debido a que no ha dudado en vender soluciones a dictaduras que luego han sido utilizadas contra disidentes políticos, activistas en favor de los derechos fundamentales e incluso como mecanismos de censura.

Desde MuyComputer recomendamos encarecidamente no instalar ningún paquete de origen sospechoso o procedente de alguna tienda no confiable. En caso de no saber qué hacer, lo suyo sería instalar las aplicaciones solo desde la Play Store. Si bien esto último tampoco es la panacea, sí al menos reduce el riesgo quedar expuesto al malware. Estos son algunos de los 18 dispositivos vulnerables que han sido detectados hasta el momento: