Se ha hecho pública la revelación de una vulnerabilidad crítica de día cero sin corregir, para el sistema operativo móvil más utilizado del mundo, es decir, Android. Además se descubrió que esta falla es explotada en la naturaleza por el vendedor israelí de vigilancia NSO Group, conocido por vender exploits de día 0 a los gobiernos, con el fin de obtener el control de los dispositivos Android de sus objetivos.
Descubierto por un investigador de Project Zero, con todos los detalles y junto a un exploit de prueba de concepto (PoC) para esta vulnerabilidad grave de seguridad, rastreado como CVE-2019-2215, se ha hecho pública hoy, a solo siete días después de informar al equipo de seguridad de Android. La falla corresponde a una vulnerabilidad use-after-free en el controlador de carpeta del kernel de Android, permitiendo a un atacante con privilegios de usuario o una aplicación escalar privilegios para obtener acceso root a un dispositivo vulnerable y tomar control remoto completo del dispositivo.
La vulnerabilidad reside en las versiones del kernel de Android lanzadas en abril del año pasado, un parche que se incluyó en el kernel 4.14 LTS Linux lanzado en diciembre de 2017, pero que solo se incorporó en las versiones 3.18, 4.4 y 4.9 del kernel de Android AOSP. Por lo tanto, la mayoría de los dispositivos Android fabricados y vendidos por la mayoría de los proveedores con el núcleo no parcheado aún son vulnerables, incluso después de tener las últimas actualizaciones de Android, a continuación el listado de algunos smartphones populares afectados:
- Pixel 1
- Pixel 1 XL
- Pixel 2
- Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Moto Z3
- Teléfonos Oreo LG
- Samsung S7
- Samsung S8
- Samsung S9
Cabe señalar que los dispositivos de Google, Pixel 3, 3 XL y 3A que ejecutan los últimos núcleos de Android no son vulnerables al problema. Según el investigador, dado que el problema es "accesible desde el interior del entorno limitado de Chrome", la vulnerabilidad de día cero del kernel de Android también se puede explotar de forma remota combinándola con un defecto de renderizado de Chrome por separado.
Aunque Google lanzó un parche para esta vulnerabilidad en su Boletín de seguridad de Android de octubre, también notificó a los OEM, la mayoría de los dispositivos afectados probablemente no recibirán el parche de inmediato a diferencia de los equipos Pixel.
La división de Project Zero de Google generalmente entrega a los desarrolladores de software una fecha límite de 90 días para solucionar el problema en sus productos afectados antes de hacer públicos los detalles, pero en caso de que las vulnerabilidades sean activas, se hacen públicas después de siete días.
REFERENCIA
COMENTARIOS