Hallan vulnerabilidad que toma el control de varios teléfonos Android

Atacantes cibernéticos están explotando una vulnerabilidad de día cero (zero-day, en inglés) en el sistema operativo móvil Android de Google, que puede darles el control total de al menos 18 modelos de teléfonos diferentes, incluidos cuatro modelos de píxeles diferentes, informó un miembro del grupo de investigación Proyect Zero de Google.

 

Investigadores de Google encontraron este fallo el pasado 27 de septiembre y fijaron un plazo de siete días para que el equipo de Android lo solucionara. El viernes 04 de octubre, el informe de Google Project Zero se hizo público.

 

Hay evidencia de que la vulnerabilidad está siendo explotada activamente, ya sea por el desarrollador de exploits NSO Group o uno de sus clientes, afirmó Maddie Stone en una publicación, miembro del Proyect Zero. Los representantes de la empresa, por su parte, dijeron que «la hazaña no tiene nada que ver con NSO».

 

 

Los exploits requieren poca o ninguna personalización para rootear completamente los teléfonos vulnerables. La vulnerabilidad se puede explotar de dos maneras:

 

  • Cuando un objetivo instala una aplicación no confiable.
  • Para ataques en línea, combinando el exploit con un segundo exploit dirigido a una vulnerabilidad en el código que el navegador Chrome utiliza para representar el contenido.

«El error es una vulnerabilidad de escalada de privilegios locales que permite un compromiso total de un dispositivo vulnerable», escribió Stone. «Si el exploit se entrega a través de la Web, solo necesita ser emparejado con un exploit de renderizador, ya que esta debilidad es accesible a través del sandbox«.

 

Una «lista no exhaustiva» de teléfonos vulnerables incluye:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Oreo LG phones
  • Samsung S7
  • Samsung S8
  • Samsung S9

 

Un miembro del equipo de Android de Google dijo en el mismo hilo del Proyect Zero que la vulnerabilidad se corregirá en los dispositivos Pixel. Específicamente, en la actualización de seguridad de Android del mes de octubre, la cual estará disponible en los próximos días. El cronograma para parchear otros dispositivos no estaba claro de inmediato. Los dispositivos Pixel 3 y Pixel 3a no se verán afectados.

 

«Este problema está clasificado como de alta gravedad en Android y por sí solo requiere la instalación de una aplicación maliciosa para su posible explotación», escribió Tim Willis, otro miembro de Project Zero, citando a los miembros del equipo de Android. «Cualquier otro vector, como a través del navegador web, requiere encadenarse con un exploit adicional».

 

Los representantes de Google escribieron en un correo electrónico:

 

“Los dispositivos Pixel 3 y 3a no son vulnerables a este problema, y ​​los dispositivos Pixel 1 y 2 estarán protegidos con la versión de seguridad de octubre, que se entregará en los próximos días. Además, se ha puesto a disposición de los socios un parche para garantizar que el ecosistema de Android esté protegido contra este problema”.

 

 

La vulnerabilidad apareció originalmente en el Kernel de Linux y fue parchada a principios de 2018 en la versión 4.14, sin el beneficio de un CVE de seguimiento. Esa solución se incorporó a las versiones 3.18, 4.4 y 4.9 del Kernel de Android. Por razones que no se explicaron en la publicación, los parches nunca llegaron a las actualizaciones de seguridad de Android. Eso explicaría por qué los modelos anteriores de Pixel son vulnerables y los posteriores no lo son. El defecto ahora se rastrea como CVE-2019-2215.

 

Stone dijo que la información que recibió del Grupo de Análisis de Amenazas de Google indicó que el exploit «supuestamente estaba siendo utilizado o vendido por el Grupo NSO», un desarrollador de exploits y spyware que comercializa varias entidades gubernamentales.

 

En un correo electrónico, los representantes de NSO escribieron: “NSO no vendió y nunca venderá exploits o vulnerabilidades. Este exploit no tiene nada que ver con NSO; nuestro trabajo se centra en el desarrollo de productos diseñados para ayudar a las agencias de inteligencia y aplicación de la ley con licencia a salvar vidas».

 

NSO, con sede en Israel, ganó una gran atención con los descubrimientos en 2016 y 2017 de una pieza avanzada de software espía móvil que desarrolló, llamado Pegasus. Este software rompe o arraiga los teléfonos iOS y Android para que pueda rastrear mensajes privados, activar el micrófono y la cámara, y recopilar todo tipo de información confidencial.

 

Investigadores del CitizenLab, con sede en la Universidad de Toronto, determinaron que la versión iOS de Pegasus estaba dirigida a un disidente político ubicado en los Emiratos Árabes Unidos. A principios de este año, CitizenLab descubrió pruebas de que NSO desarrolló un exploit avanzado contra el mensajero de WhatsApp que también instaló spyware en teléfonos vulnerables, sin requerir que los usuarios elegidos tomen ninguna medida. Una intromisión encubierta dirigida a los investigadores de CitizenLab también se centró principalmente en NSO.

 

 

«Como cliente de NSO, me preocuparía que la notoriedad de NSO haya atraído el tipo de escrutinio pesado de los equipos de seguridad e investigadores que podrían llevar a que mis operaciones de espionaje más sensibles se vean interrumpidas y expuestas», afirmó John Scott-Railton, investigador senior de CitizenLab.

 

Project Zero ofrece a los desarrolladores 90 días para emitir una solución antes de publicar informes de vulnerabilidad, excepto en casos de exploits activos. La vulnerabilidad de Android en este caso se publicó siete días después de que se informó de forma privada al equipo de Android.

 

Si bien la vulnerabilidad reportada este jueves es grave, los usuarios vulnerables de Android no deberían entrar en pánico. Las posibilidades de ser explotado por ataques tan elaborados y selectivos como el descrito por Project Zero son extremadamente escasas. De todos modos, puede tener sentido retrasar la instalación de aplicaciones no esenciales y usar un navegador que no sea Chrome hasta después de instalar el parche.

Los comentarios están cerrados.