Nueva falla de 0 días que afecta a la mayoría de los teléfonos Android explotados en la naturaleza

Otro día, otra revelación de una vulnerabilidad crítica de día cero sin parches, esta vez en el sistema operativo móvil más utilizado del mundo, Android.

¿Y lo que es más? También se descubrió que la vulnerabilidad de día cero de Android fue explotada en la naturaleza por el proveedor de vigilancia israelí NSO Group, famoso por vender exploits de día cero a los gobiernos, o uno de sus clientes, para obtener el control de los dispositivos Android. De sus objetivos.

Descubierto por la investigadora de Project Zero, Maddie Stone, los detalles y un exploit de prueba de concepto para la vulnerabilidad de seguridad de alta gravedad, rastreada como CVE-2019-2215, se hicieron públicos hoy, solo siete días después de informarlo al equipo de seguridad de Android. .

Zero-day es una vulnerabilidad de uso después de la liberación en el controlador de enlace del kernel de Android que puede permitir que un atacante local privilegiado o una aplicación aumente sus privilegios para obtener acceso de root a un vulnerable y potencialmente tomar el control remoto completo del dispositivo.

Dispositivos Android vulnerables

La vulnerabilidad radica en las versiones del kernel de Android lanzadas antes de abril del año pasado, un parche para el cual se incluyó en el kernel de Linux 4.14 LTS lanzado en diciembre de 2017, pero solo se incorporó a las versiones 3.18, 4.4 y 4.9 del kernel de Android AOSP.

Por lo tanto, la mayoría de los dispositivos Android fabricados y vendidos por la mayoría de los proveedores con el kernel sin parche siguen siendo vulnerables a esta vulnerabilidad incluso después de recibir las últimas actualizaciones de Android, incluidos los modelos de teléfonos inteligentes más populares que se enumeran a continuación:

• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Nota 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Teléfonos LG Oreo
• Samsung S7
• Samsung S8
• Samsung S9

Cabe destacar que los dispositivos Pixel 3, 3 XL y 3a que ejecutan los últimos kernels de Android no son vulnerables al problema.

La falla de Android se puede explotar de forma remota

Según el investigador, debido a que el problema es «accesible desde la caja de arena de Chrome», la vulnerabilidad de día cero del kernel de Android también se puede explotar de forma remota combinándola con una falla de renderización de Chrome separada.

«El error es una vulnerabilidad de escalada de privilegios local que permite un compromiso completo de un dispositivo vulnerable. Si el exploit se implementa a través de la web, solo necesita estar asociado con un exploit del renderizador, ya que esta vulnerabilidad es accesible a través del sandbox.», Cálculo Él dice en el blog de Chromium.

«Adjunté una prueba de concepto de exploit local para demostrar cómo se puede usar este error para lograr lectura / escritura arbitraria del kernel mientras se ejecuta localmente. Solo requiere ejecutar código de aplicación no confiable para aprovechar CVE-2019-2215. también adjuntamos una captura de pantalla (success.png) del POC que se ejecuta en un Pixel 2, con Android 10 con el nivel de parche de seguridad de septiembre de 2019 «.

Los parches estarán disponibles pronto

Aunque Google lanzará un parche para esta vulnerabilidad en su boletín de seguridad de Android de octubre en los próximos días y también ha notificado a los OEM, la mayoría de los dispositivos afectados probablemente no recibirán el parche de inmediato, a diferencia de Google Pixel 1 y 2.

«Este problema está clasificado como de alta gravedad en Android y por sí mismo requiere la instalación de una aplicación maliciosa para su potencial explotación. Cualquier otro vector, como a través de un navegador web, requiere encadenamiento con un exploit adicional», dijo el equipo de seguridad de Android en un Nota.

«Hemos notificado a los socios de Android y el parche está disponible en Android Common Kernel. Los dispositivos Pixel 3 y 3a no son vulnerables, mientras que los dispositivos Pixel 1 y 2 recibirán actualizaciones para este problema como parte de la actualización de octubre».

La división Project Zero de Google generalmente otorga a los desarrolladores de software un plazo de 90 días para resolver el problema en los productos afectados antes de hacer públicos los detalles de PoC y las vulnerabilidades, pero en el caso de las vulnerabilidades activas, el equipo se hace público después de siete días de informes privados.