¡Los investigadores de Project Zero han encontrado una vulnerabilidad de seguridad de día cero explotada activamente que compromete los dispositivos Google Pixel y otros! ¡Sigue leyendo!
Actualización 10/10/19 a las 3:05 a.m. ET: La vulnerabilidad de día cero de Android se solucionó con el parche de seguridad del 6 de octubre de 2019. Desplácese hasta el final para obtener más información. El artículo publicado el 6 de octubre de 2019 se conserva como se muestra a continuación.
La seguridad ha sido uno de los prioridades principales en actualizaciones recientes de Android, con mejoras y cambios en el cifrado, permisos y manejo relacionado con la privacidad como algunas de las características principales. Otras iniciativas como Línea principal del proyecto para Android 10 Su objetivo es acelerar las actualizaciones de seguridad para que los dispositivos Android sean más seguros. Google también ha sido diligente y puntual con los parches de seguridad, y si bien estos esfuerzos son encomiables por derecho propio, siempre habrá margen para exploits y vulnerabilidades en un sistema operativo como Android. Resulta que supuestamente se ha descubierto que los atacantes explotan activamente una vulnerabilidad de día cero en Android. que les permite tomar el control total de ciertos teléfonos de Google, Huawei, Xiaomi, Samsung y otros.
de google Proyecto Cero el equipo tiene información revelada sobre un exploit de día cero para Android, cuyo uso activo se atribuye al grupo OSN, aunque representantes de NSO han negado el uso del mismo a ArsTechnica. Este exploit es una escalada de privilegios del kernel que utiliza un uso después de la liberación vulnerabilidad, lo que permite al atacante comprometer completamente un dispositivo vulnerable y rootearlo. Dado que también se puede acceder al exploit desde el entorno limitado de Chrome, también se puede distribuir a través de la web una vez que se combina con un exploit que apunta a una vulnerabilidad en el código de Chrome que se utiliza para representar contenido.
En un lenguaje más simple, un atacante puede instalar una aplicación maliciosa en los dispositivos afectados y lograr la raíz sin el conocimiento del usuario y, como todos sabemos, el camino se abre completamente después de eso. Y dado que se puede encadenar con otro exploit en el navegador Chrome, el atacante también puede entregar la aplicación maliciosa a través del navegador web, eliminando la necesidad de acceso físico a la dispositivo. Si esto le parece grave, entonces es porque ciertamente lo es: la vulnerabilidad ha sido clasificada como "Alta gravedad" en Android. Lo que es peor, este exploit requiere poca o ninguna personalización por dispositivo, y los investigadores de Project Zero también tienen pruebas de que el exploit se utiliza en la naturaleza.
La vulnerabilidad aparentemente fue reparada en diciembre de 2017 en el Lanzamiento del kernel de Linux 4.14 LTS pero sin un CVE de seguimiento. Luego, la solución se incorporó a las versiones. 3.18, 4.4, y 4.9 del núcleo de Android. Sin embargo, la solución no llegó a las actualizaciones de seguridad de Android, lo que dejó a varios dispositivos vulnerables a esta falla que ahora se rastrea como CVE-2019-2215.
La lista "no exhaustiva" de dispositivos que se han encontrado afectados es la siguiente:
- Google Píxel
- Google Píxel XL
- Google Píxel 2
- Google Píxel 2XL
- Huawei P20
- Xiaomi Mi 5A
- Xiaomi Redmi Nota 5
- Xiaomi Mi A1
- Oppo A3
- Moto Z3
- Teléfonos LG con Android Oreo
- samsung galaxy s7
- samsung galaxy s8
- samsung galaxy s9
Sin embargo, como se mencionó, esta no es una lista exhaustiva, lo que significa que es probable que también se utilicen varios otros dispositivos. se han visto afectados por esta vulnerabilidad a pesar de tener actualizaciones de seguridad de Android tan nuevas como la de septiembre 2019. Se dice que Google Pixel 3 y Pixel 3 XL y Google Pixel 3a y Pixel 3a XL están a salvo de esta vulnerabilidad. Los dispositivos Pixel afectados tendrán la vulnerabilidad parcheada en la próxima actualización de seguridad de Android de octubre de 2019, que debería estar disponible en uno o dos días. Se ha puesto a disposición de los socios de Android un parche "para garantizar que el ecosistema de Android esté protegido contra el problema", pero Al ver cuán descuidados e indiferentes son ciertos fabricantes de equipos originales con respecto a las actualizaciones, no conteneríamos la respiración al recibir la solución a tiempo. manera.
El equipo de investigación de Project Zero ha compartido una prueba de concepto local para demostrar cómo se puede utilizar este error para obtener lectura/escritura arbitraria del kernel cuando se ejecuta localmente.
El equipo de investigación de Project Zero prometió proporcionar una explicación más detallada del error y la metodología para identificarlo en una futura publicación de blog. ArsTechnica opina que las posibilidades de que se aprovechen ataques tan costosos y dirigidos como éste son extremadamente escasas; y que los usuarios aún deben posponer la instalación de aplicaciones no esenciales y usar un navegador que no sea Chrome hasta que se instale el parche. En nuestra opinión, añadiríamos que también sería prudente estar atento al parche de seguridad de octubre de 2019 para su dispositivo e instalarlo lo antes posible.
Fuente: Proyecto Cero
Historia vía: ArsTechnica
Actualización: la vulnerabilidad de día cero de Android se solucionó con la actualización de seguridad de octubre de 2019
CVE-2019-2215 que se relaciona con la vulnerabilidad de escalada de privilegios del kernel mencionada anteriormente ha sido parcheado con el Parche de seguridad de octubre de 2019, concretamente con el nivel de parche de seguridad 2019-10-06, tal y como se prometió. Si hay una actualización de seguridad disponible para su dispositivo, le recomendamos instalarla lo antes posible.
Fuente: Boletín de seguridad de Android
A través de: Gorjeo: @maddiestone