Resurge una vulnerabilidad zero-day que se creía solucionada en Android
Una vulnerabilidad que se ha solucionado en versiones anteriores en Android desde principios del año pasado, ha resurgido, pues recientemente se descubrió que los atacantes estaban explotando activamente una vulnerabilidad “zero-day” en Android que les permite tomar el control total de varios modelos de teléfonos, incluidos 4 modelos Google Pixel, Huawei, dispositivos Xiaomi, Samsung y otros, dijo un miembro del Google Zero Project Research Group.
La vulnerabilidad ha sido calificada como “de alta gravedad” en Android y lo que es peor, el exploit requiere poca o ninguna personalización para rootear completamente los teléfonos vulnerables. Un mensaje del grupo de investigación de Google sugirió que el error, descubierto la semana pasada, fue explotado activamente, ya sea por NSO Group o por uno de sus clientes.
Sin embargo, los representantes del grupo declinaron cualquier responsabilidad por la explotación del error. NSO Group es un desarrollador de exploits y spyware que vende a varias entidades gubernamentales.
En un correo electrónico, los representantes del Grupo NSO escribieron después de la divulgación del exploit:
“NSO no ha vendido y nunca venderá exploits o vulnerabilidades. Esta hazaña no tiene nada que ver con NSO; nuestro trabajo se centra en el desarrollo de productos diseñados para ayudar a las agencias de inteligencia y agencias de aplicación de la ley a salvar vidas “.
El grupo, con sede en Israel y especializado en asistencia técnica a gobiernos para el espionaje de terminales móviles y el desarrollo de “armas digitales”, ha sido ilustrado como tal con el descubrimiento en 2016 y 2017, por investigadores del Citizen Lab de la Universidad de Toronto, un software espía móvil avanzado que desarrolló y bautizó Pegasus.
Google también ha sido diligente y puntual con los parches de seguridad (tan recientemente como el mes pasado, Google lanzó parches de seguridad para teléfonos Google Pixel y para muchos otros teléfonos). Pero todo esto no evitó nuevas vulnerabilidades en Android.
Este exploit es una escalada de privilegios de kernel que utilizan una vulnerabilidad, lo que permite al atacante comprometer completamente un dispositivo vulnerable y rootearlo. Debido a que también se puede acceder al exploit desde el sandbox de Chrome, también se puede entregar a través de la web una vez que se combina con un exploit que apunta a una vulnerabilidad en el código de Chrome que se utiliza para representar el contenido.
Esta vulnerabilidad se creía que fue corregida a principios de 2018 en Linux Kernel LTS versión 4.14 pero sin seguimiento CVE. La solución se incorporó a las versiones 3.18, 4.4 y 4.9 del kernel de Android. Sin embargo, la solución no llegó a las actualizaciones de seguridad de Android que siguieron, dejando varios dispositivos vulnerables a esta falla que ahora se rastrea como CVE-2019-2215.
Maddie Stone, miembro del Proyecto Cero, dijo en un mensaje que “el error es una vulnerabilidad que aumenta los privilegios locales y permite un compromiso completo de un dispositivo vulnerable”.
Es decir, un atacante puede instalar una aplicación maliciosa en los dispositivos afectados y llegar al root sin el conocimiento del usuario, para que pueda tener el control total del dispositivo. Y dado que se puede combinar con otro exploit en el navegador Chrome, el atacante también puede entregar la aplicación maliciosa a través del navegador web, eliminando la necesidad de acceso físico al dispositivo.
La lista “no exhaustiva” de dispositivos que el grupo de investigación de Google ha publicado como dispositivos afectados es:
- Pixel 1
- Pixel 1 XL
- Pixel 2
- Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Moto Z3
- Teléfonos LG
- Samsung S7
- Samsung S8
- Samsung S9
El equipo de investigación de Project Zero compartió una prueba de explotación de concepto local para demostrar cómo se puede utilizar este error para obtener una lectura/escritura arbitraria del núcleo durante la ejecución local.
Sin embargo, otro miembro del equipo Zero Project de Google dijo que la vulnerabilidad ya se corregirá en la actualización de seguridad de Android de octubre, que probablemente estará disponible en los próximos días.