Google encuentra vulnerabilidad de día cero que afecta a varios dispositivos Android

Google reveló hoy que encontraron evidencia de una vulnerabilidad no parchada de Android, que afecta a dispositivos Pixel, Huawei, Samsung y Xiaomi.

La vulnerabilidad reside en el código del kernel del sistema operativo Android y puede utilizarse para ayudar a un atacante a obtener acceso de root al dispositivo.

Pero esta vulnerabilidad no es nueva, de hecho se parchó en diciembre de 2017 en las versiones del kernel de Android 3.18, 4.14, 4.4 y 4.9, pero se descubrió que las versiones más nuevas también eran vulnerables.

Los investigadores de Google creen que la vulnerabilidad afecta los siguientes modelos de teléfonos Android, que ejecutan Android 8.x y versiones posteriores:

·Pixel 2 con vista previa de Android 9 y Android 10
·Huawei P20
·Xiaomi Redmi 5A
·Xiaomi Redmi Note 5
·Xiaomi A1
·Oppo A3
·Moto Z3
·Teléfonos Oreo LG
·Samsung S7, S8, S9

Los investigadores de Google también anunciaron que «el exploit requiere poca o ninguna personalización por dispositivo», lo que significa que debería poder funcionar en una amplia gama de teléfonos, aunque no lo han confirmado con revisiones manuales, como lo hicieron para los dispositivos enumerados anteriormente.

La vulnerabilidad fue descubierta por el equipo del Proyecto Cero de Google, y luego se confirmó que el Grupo de Análisis de Amenazas (TAG) de la compañía la había utilizado en ataques del mundo real. Estos son los dos equipos que descubrieron el mes pasado un lote de 14 días cero utilizados contra usuarios de iOS.

TAG de Google dijo que cree que el día cero de Android es el trabajo de NSO Group, una conocida compañía con sede en Israel que vende herramientas de vigilancia y exploits.

Según Zdnet esta compañía ha sido criticada por vender herramientas de piratería a regímenes opresivos, pero ante las crecientes críticas, recientemente se ha comprometido a luchar contra los clientes que abusan de sus herramientas para espiar a inocentes u opositores políticos.

«NSO no vendió y nunca venderá exploits o vulnerabilidades», dijo un portavoz del Grupo NSO. «Esta hazaña no tiene nada que ver con NSO; nuestro trabajo se centra en el desarrollo de productos diseñados para ayudar a las agencias de aplicación de la ley y de inteligencia con licencia a salvar vidas».

La buena noticia es que el día cero de Android no es tan peligroso como otros días cero anteriores. Para empezar, no es un RCE (ejecución remota de código) que puede explotarse sin la interacción del usuario. Hay ciertas condiciones que deben cumplirse antes de que un atacante pueda explotar esta vulnerabilidad.

«Este problema está calificado como de alta gravedad en Android y por sí solo requiere la instalación de una aplicación maliciosa para su posible explotación», dijo un portavoz del Proyecto de Código Abierto de Android. «Cualquier otro vector, como a través del navegador web, requiere encadenarse con un exploit adicional.

«Hemos notificado a los socios de Android y el parche está disponible en el núcleo común de Android. Los dispositivos Pixel 3 y 3a no son vulnerables, mientras que los dispositivos Pixel 1 y 2 recibirán actualizaciones para este problema como parte de la actualización de octubre», dijo el equipo de Android .

El día cero ahora se está rastreando como CVE-2019-2215. Esta entrada del rastreador de errores del equipo del Proyecto Cero contiene código de prueba de concepto y detalles adicionales para los investigadores de seguridad que desean reproducir el error y probar otros dispositivos.