[Actualización: parcheado] Vulnerabilidad de día cero explotada activamente encontrada en Google Pixel, Huawei, Xiaomi, Samsung y otros dispositivos

Actualización 10/10/19 @ 3:05 AM ET: La vulnerabilidad de Android de día cero se ha parcheado con el parche de seguridad del 6 de octubre de 2019. Desplácese hacia abajo para obtener más información. El artículo publicado el 6 de octubre de 2019 se conserva de la siguiente manera.

La seguridad ha sido una de las principales prioridades en las actualizaciones recientes de Android, con mejoras y cambios en el cifrado, los permisos y el manejo relacionado con la privacidad como algunas de las características principales. Otras iniciativas, como Project Mainline para Android 10, apuntan a acelerar las actualizaciones de seguridad para que los dispositivos Android sean más seguros. Google también ha sido diligente y puntual con los parches de seguridad, y aunque estos esfuerzos son encomiables por derecho propio, siempre habrá margen para vulnerabilidades y vulnerabilidades en un sistema operativo como Android. Como resultado, supuestamente se ha descubierto que los atacantes explotan activamente una vulnerabilidad de día cero en Android que les permite tomar el control total de ciertos teléfonos de Google, Huawei, Xiaomi, Samsung y otros.

El equipo de Project Zero de Google ha revelado información sobre un exploit de Android de día cero, cuyo uso activo se atribuye al grupo NSO, aunque representantes de NSO han negado el uso del mismo a ArsTechnica . Este exploit es una escalada de privilegios del kernel que utiliza una vulnerabilidad de uso libre después, lo que permite al atacante comprometer completamente un dispositivo vulnerable y rootearlo. Dado que también se puede acceder al exploit desde el sandbox de Chrome, también se puede entregar a través de la web una vez que se combina con un exploit que apunta a una vulnerabilidad en el código en Chrome que se usa para representar el contenido.

En un lenguaje más simple, un atacante puede instalar una aplicación maliciosa en los dispositivos afectados y lograr la raíz sin el conocimiento del usuario, y como todos sabemos, el camino se abre completamente después de eso. Y dado que se puede encadenar con otro exploit en el navegador Chrome, el atacante también puede entregar la aplicación maliciosa a través del navegador web, eliminando la necesidad de acceso físico al dispositivo. Si esto le suena serio, entonces es porque ciertamente lo es: la vulnerabilidad ha sido calificada como "Alta gravedad" en Android. Lo que es peor, este exploit requiere poca o ninguna personalización por dispositivo, y los investigadores del Proyecto Cero también tienen pruebas de que el exploit se utiliza en la naturaleza.

Aparentemente, la vulnerabilidad fue parchada en diciembre de 2017 en el lanzamiento de Linux Kernel 4.14 LTS pero sin un CVE de seguimiento. La solución se incorporó a las versiones 3.18, 4.4 y 4.9 del kernel de Android. Sin embargo, la solución no llegó a las actualizaciones de seguridad de Android, dejando a varios dispositivos vulnerables a esta falla que ahora se rastrea como CVE-2019-2215.

La lista "no exhaustiva" de dispositivos que se han visto afectados es la siguiente:

  • Google Pixel
  • Google Pixel XL
  • Google Pixel 2
  • Google Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi Mi A1
  • Oppo A3
  • Moto Z3
  • Teléfonos LG en Android Oreo
  • Samsung Galaxy S7
  • Samsung Galaxy S8
  • Samsung Galaxy S9

Sin embargo, como se mencionó, esta no es una lista exhaustiva, lo que significa que es probable que otros dispositivos también se hayan visto afectados por esta vulnerabilidad a pesar de tener actualizaciones de seguridad de Android tan nuevas como la de septiembre de 2019. Google Pixel 3 y Pixel 3 XL y Google Pixel 3a y Pixel 3a XL se dice que están a salvo de esta vulnerabilidad. Los dispositivos Pixel afectados tendrán la vulnerabilidad parcheada en la próxima actualización de seguridad de Android de octubre de 2019, que debería estar disponible en uno o dos días. Se ha puesto a disposición un parche para los socios de Android "con el fin de garantizar que el ecosistema de Android esté protegido contra el problema", pero al ver cuán descuidados y despreocupados ciertos OEM son acerca de las actualizaciones, no contuvimos la respiración al recibir la solución a tiempo conducta.

El equipo de investigación de Project Zero ha compartido un exploit de prueba de concepto local para demostrar cómo se puede usar este error para obtener una lectura / escritura arbitraria del núcleo cuando se ejecuta localmente.

El equipo de investigación de Project Zero ha prometido proporcionar una explicación más detallada del error y la metodología para identificarlo en una futura publicación de blog. ArsTechnica es de la opinión de que hay posibilidades extremadamente escasas de ser explotado por ataques tan caros y específicos como este; y que los usuarios aún deben retrasar la instalación de aplicaciones no esenciales y usar un navegador que no sea Chrome hasta que se instale el parche. En nuestra opinión, agregaríamos que también sería prudente buscar el parche de seguridad de octubre de 2019 para su dispositivo e instalarlo lo antes posible.

Fuente: Proyecto Cero

Historia vía: ArsTechnica


Actualización: la vulnerabilidad de Android de día cero se ha parcheado con la actualización de seguridad de octubre de 2019

CVE-2019-2215 que se relaciona con la vulnerabilidad de escalada de privilegios del kernel mencionada anteriormente se ha parcheado con el parche de seguridad de octubre de 2019, específicamente con el nivel de parche de seguridad 2019-10-06, como se prometió. Si hay una actualización de seguridad disponible para su dispositivo, le recomendamos que la instale lo antes posible.

Fuente: Boletín de seguridad de Android

Vía: Twitter: @maddiestone