Otro día, otra revelación de una vulnerabilidad crítica de día cero sin parches, esta vez en el sistema operativo móvil más utilizado del mundo, Android.

¿Y lo que es más? También se descubrió que la vulnerabilidad de día cero de Android es explotada de forma salvaje por el proveedor de vigilancia israelí NSO Group, famoso por vender exploits de día cero a los gobiernos, o uno de sus clientes, para obtener el control de los dispositivos Android de sus objetivos.

Descubierto por la investigadora de Project Zero, Maddie Stone, los detalles y un exploit de prueba de concepto para la vulnerabilidad de seguridad de alta gravedad, rastreada como CVE-2019-2215, se hizo público hoy, solo siete días después de informarlo a la seguridad de Android. equipo.

El día cero es una vulnerabilidad de uso posterior a la liberación en el controlador de enlace del kernel de Android que puede permitir que un atacante local privilegiado o una aplicación escale sus privilegios para obtener acceso de root a un dispositivo vulnerable y potencialmente tomar el control remoto completo del dispositivo.

Dispositivos Android vulnerables

La vulnerabilidad reside en las versiones del kernel de Android lanzadas antes de abril del año pasado, un parche para el cual se incluyó en el kernel de Linux 4.14 LTS lanzado en diciembre de 2017, pero solo se incorporó en las versiones del kernel de AOSP Android 3.18, 4.4 y 4.9.

Por lo tanto, la mayoría de los dispositivos Android fabricados y vendidos por la mayoría de los proveedores con el kernel sin parches siguen siendo vulnerables a esta vulnerabilidad incluso después de tener las últimas actualizaciones de Android, incluidos los modelos de teléfonos inteligentes populares que se enumeran a continuación:

• Píxel 1
• Píxel 1 XL
• Píxel 2
• Píxel 2 XL
• huawei p20
• Xiaomi redmi 5A
• Xiaomi redmi Nota 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Teléfonos LG Oreo
• samsung s7
• samsung s8
• samsung s9

Cabe señalar que los dispositivos Pixel 3, 3 XL y 3a que ejecutan los últimos kernels de Android no son vulnerables al problema.

La falla de Android se puede explotar de forma remota

Según el investigador, dado que el problema es «accesible desde dentro de la caja de arena de Chrome», la vulnerabilidad de día cero del kernel de Android también se puede explotar de forma remota combinándola con una falla de renderizado de Chrome separada.

«El error es una vulnerabilidad de escalamiento de privilegios local que permite un compromiso completo de un dispositivo vulnerable. Si el exploit se entrega a través de la Web, solo necesita combinarse con un exploit de renderizador, ya que se puede acceder a esta vulnerabilidad a través de la zona de pruebas». dice Stone en el blog de Chromium.

«Adjunté una prueba de concepto de explotación local para demostrar cómo se puede usar este error para obtener una lectura/escritura arbitraria del kernel cuando se ejecuta localmente. Solo requiere la ejecución del código de la aplicación que no es de confianza para explotar CVE-2019-2215. Yo ‘ También adjunté una captura de pantalla (success.png) del POC ejecutándose en un Pixel 2, ejecutando Android 10 con nivel de parche de seguridad de septiembre de 2019. «

Parches que estarán disponibles pronto

Aunque Google lanzará un parche para esta vulnerabilidad en su Boletín de seguridad de Android de octubre en los próximos días y también notificará a los OEM, es probable que la mayoría de los dispositivos afectados no reciban el parche de inmediato, a diferencia de Google Pixel 1 y 2.

«Este problema está calificado como de alta gravedad en Android y por sí mismo requiere la instalación de una aplicación maliciosa para una posible explotación. Cualquier otro vector, como a través del navegador web, requiere encadenamiento con un exploit adicional», dijo el equipo de seguridad de Android en un comunicado.

«Hemos notificado a los socios de Android y el parche está disponible en Android Common Kernel. Los dispositivos Pixel 3 y 3a no son vulnerables, mientras que los dispositivos Pixel 1 y 2 recibirán actualizaciones para este problema como parte de la actualización de octubre».

La división Project Zero de Google suele dar a los desarrolladores de software un plazo de 90 días para solucionar el problema en sus productos afectados antes de hacer públicos los detalles y los exploits de PoC, pero en caso de exploits activos, el equipo se hace público después de siete días de ser informado de forma privada.