Dispositivos Android afectados por un exploit día cero que Google creía que había parcheado

Credit to Author: Naked Security| Date: Wed, 09 Oct 2019 14:12:59 +0000

Google ha admitido que algunos dispositivos con Android se han vuelto vulnerables recientemente a un grave exploit día cero que la compañía pensó que había reparado definitivamente hace casi dos años.

El problema salió a la luz recientemente cuando el Grupo de Análisis de Amenazas (TAG) de Google se enteró de que se estaba utilizando una vulnerabilidad desconocida, posiblemente por el Grupo NSO israelí, en ataques en el mundo real.

Profundizando en el comportamiento del exploit, la investigadora del Proyecto Zero, Maddie Stone, dijo que pudo conectarlo a una vulnerabilidad en las versiones del kernel de Android 3.18, 4.14, 4.4 y 4.9 que se corrigió en diciembre de 2017 sin que se le asignara un CVE.

De alguna manera, ese buen trabajo se deshizo en algunos modelos posteriores, o nunca se aplicó, dejando vulnerables una serie de teléfonos inteligentes con Android 8.x, 9.x y la versión preliminar de 10.

La vulnerabilidad se identifica ahora como CVE-2019-2215 y se describe como:

Escalada de privilegios del kernel utilizando una vulnerabilidad use-after-free, accesible desde el interior del sandbox de Chrome.

¿El resultado? Dispositivos sin parches totalmente comprometidos, probablemente atacados desde un sitio web malicioso sin la necesidad de interacción del usuario, junto con uno o más exploits. También requiere que el atacante haya instalado una aplicación maliciosa.

Modelos afectados:

  • Google: Pixel 1, Pixel 1 XL, Pixel 2, Pixel 2 XL
  • Samsung – S7, S8, S9
  • Xiaomi – Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1
  • Huawei – P20
  • Oppo – A3
  • Motorola – Moto Z3
  • LG – teléfonos Oreo LG

Esta lista oficial probablemente no sea exhaustiva, por lo que el hecho de que su teléfono no esté en la lista no significa que no sea vulnerable. Sin embargo, Google ha confirmado que Pixel 3 y Pixel 3a no se ven afectados. Google agregó:

Tenemos pruebas de que este error se está utilizando en la actualidad. Por lo tanto, este error está sujeto a una fecha límite de divulgación de 7 días. Después de que transcurran 7 días o se haya puesto a disposición ampliamente un parche (lo que sea anterior), el informe de error se hará público.

Para la mayoría de los usuarios, la próxima semana se enviará una solución con la actualización de seguridad de Android de octubre después de que los fabricantes de teléfonos hayan verificado que funciona en sus dispositivos.

El elemento inusual de esta historia es la supuesta participación del Grupo NSO, una organización comercial relacionada con un ataque en mayo que afectaba a WhatsApp de Facebook.

Muchos de los ataques involucran campañas contra organizaciones no gubernamentales (ONG) y utilizan una herramienta de spyware llamada Pegasus, popular entre los servicios de inteligencia de los estados nacionales.

NSO, por supuesto, ha afirmado que su herramienta se usa legítimamente, aunque nunca se ha aclarado cómo pueden estar seguros de que no ha caído en las manos equivocadas.

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

http://feeds.feedburner.com/sophos/dgdY

Leave a Reply