Se descubrió una vulnerabilidad de día cero de Android que es actualmente explotada en la naturaleza por el vendedor israelí de vigilancia NSO Group, el cual tiene mala reputación por vender exploits de día cero a los gobiernos, para obtener el control de los dispositivos Android de sus objetivos.

Descubierto por el investigador del Proyecto Zero Maddie Stone, los detalles y un exploit de prueba de concepto para la vulnerabilidad de seguridad de alta gravedad, rastreado como CVE-2019-2215, se han hecho públicos, solo siete días después de informarlo al equipo de seguridad de Android.

Este día cero es una vulnerabilidad del kernel de Android que puede permitir que un atacante privilegiado local o una aplicación escale sus privilegios para obtener acceso de root a un dispositivo vulnerable y potencialmente tomar el control remoto completo del dispositivo.

Dispositivos Android Vulnerables

La vulnerabilidad reside en las versiones del kernel de Android lanzadas antes de abril del año pasado, un parche que se incluyó en el kernel 4.14 LTS Linux lanzado en diciembre de 2017, pero sólo se incorporó en las versiones 3.18, 4.4 y 4.9 del kernel de Android AOSP.

Por lo tanto, la mayoría de los dispositivos Android fabricados y vendidos por la mayoría de los proveedores con el núcleo no parcheado aún son vulnerables a esta vulnerabilidad, incluso después de tener las últimas actualizaciones de Android, incluidos los modelos de teléfonos inteligentes populares que se enumeran a continuación:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Teléfonos Oreo LG
  • Samsung S7
  • Samsung S8
  • Samsung S9

Cabe señalar que los dispositivos Pixel 3, 3 XL y 3a que ejecutan los últimos núcleos de Android no son vulnerables al problema.

La falla de Android se puede explotar de forma remota

Según el investigador, dado que el problema es “accesible desde el interior del entorno limitado de Chrome”, la vulnerabilidad de día cero del kernel de Android también se puede explotar de forma remota combinándola con un defecto de representación de Chrome por separado.

 “El error es una vulnerabilidad de escalada de privilegios locales que permite un compromiso total de un dispositivo vulnerable. Si el exploit se entrega a través de la Web, solo necesita ser emparejado con un exploit de renderizador, ya que esta vulnerabilidad es accesible a través del sandbox”. Stone dice en el blog Chromium.

“He adjuntado una prueba de concepto de explotación local para demostrar cómo se puede usar este error para obtener lectura / escritura arbitraria del núcleo cuando se ejecuta localmente. Solo requiere la ejecución de código de aplicación no confiable para explotar CVE-2019-2215. I ‘ también adjunté una captura de pantalla (success.png) del POC que se ejecuta en un Pixel 2, con Android 10 con nivel de parche de seguridad en septiembre de 2019 “.

Los parches estarán disponibles pronto

Aunque Google lanzará un parche para esta vulnerabilidad en su Boletín de seguridad de Android de octubre en los próximos días y también notificó a los OEM, la mayoría de los dispositivos afectados probablemente no recibirían el parche de inmediato, a diferencia de Google Pixel 1 y 2.

“Este problema está calificado como de alta gravedad en Android y por sí solo requiere la instalación de una aplicación maliciosa para su posible explotación. Cualquier otro vector, como a través del navegador web, requiere encadenarse con un exploit adicional”, dijo el equipo de seguridad de Android en un comunicado.

“Hemos notificado a los socios de Android, y el parche está disponible en el kernel común de Android. Los dispositivos Pixel 3 y 3a no son vulnerables, mientras que los dispositivos Pixel 1 y 2 recibirán actualizaciones para este problema como parte de la actualización de octubre”.

La división Project Zero de Google generalmente les da a los desarrolladores de software una fecha límite de 90 días para solucionar el problema en sus productos afectados antes de hacer públicos los detalles y las vulnerabilidades de PoC, pero en caso de vulnerabilidades activas, el equipo se hace público después de siete días de denuncia privada.