Según se informa, los atacantes están explotando una vulnerabilidad no parcheada para tomar el control de los dispositivos Android y potencialmente entregar software espía.

La falla afecta a los modelos de teléfonos de múltiples fabricantes, incluidos Google, Samsung, Huawei, LG y Xiaomi.

La vulnerabilidad es una condición de memoria de uso después de estar libre en el componente Binder de Android que puede resultar en una escalada de privilegios. La falla se corrigió sin un identificador CVE en diciembre de 2017 en el kernel de Linux 4.14 LTS, el kernel de Android Open Source Project (AOSP) 3.18, el kernel de AOSP 4.4 y el kernel de AOSP 4.9.

Los autores de la modificación Skyblivion publicaron el primer diario del desarrollador: SamaGame

AOSP mantiene el código de Android de referencia, pero los fabricantes de dispositivos individuales, incluido el propio Google, no lo utilizan directamente. Mantienen árboles de firmware separados para sus dispositivos, que a menudo ejecutan diferentes versiones del kernel.

Esto significa que cada vez que se corrige una vulnerabilidad en AOSP, los fabricantes de dispositivos tienen que importar el parche y aplicarlo a su código de firmware personalizado; y este en particular parece haberse perdido.

Según un informe de Maddie Stone, investigadora de Google Project Zero, el Pixel 2 de Google con vista previa de Android 9 y Android 10 es vulnerable, al igual que el Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Oppo A3, Moto Z3, Samsung. S7, S8 y S9, así como teléfonos LG que ejecutan Android Oreo.

Último ¡Destruye a todos los humanos! El tráiler del juego presenta Union Town

En un mensaje en Twitter, Stone aclaró que esos son los dispositivos para los que confirmó la falla a través de la revisión del código fuente, pero señaló que “la mayoría de los dispositivos Android anteriores al otoño de 2018 se ven afectados”.

Como la mayoría de los problemas de escalada de privilegios, esta vulnerabilidad puede ser aprovechada por una aplicación maliciosa instalada en el dispositivo para obtener privilegios de root: control total del dispositivo.

Esto permite escapar de la zona de pruebas de la aplicación, que es fundamental para el modelo de seguridad de Android. Además, según Stone, también se puede atacar directamente desde la Web si está encadenado con un exploit del renderizador del navegador, porque también se puede acceder a la falla a través del entorno de pruebas del navegador.

Apple corrige el error de "Taiwán" que provocó la caída de los iPhones

El proyecto de Android ha compartido la información necesaria con los proveedores afectados y el parche ya está disponible, por lo que ahora depende de ellos integrarlo en su firmware y lanzar actualizaciones para los dispositivos afectados. Google planea solucionar el problema de Pixel 1 y 2 en la próxima actualización de este mes. Pixel 3 y 3a no son vulnerables.

Evidencia de explotación en la naturaleza

Mientras investigaba la falla, Stone recibió detalles técnicos del Threat Analysis Group (TAG) de Google, así como de partes externas sobre un exploit de Android que “supuestamente está siendo usado o vendido por NSO Group” y cuyos detalles técnicos coinciden con esta falla de escalada de privilegios.

Revisión de Sony Android TV

“He determinado que es casi seguro que el error que se está utilizando es el de este informe, ya que descarté otros posibles candidatos al comparar los parches”, dijo Stone.

NSO Group es una empresa de inteligencia cibernética con sede en Israel que desarrolla software de vigilancia para su uso por agencias de inteligencia y de aplicación de la ley.

En 2016, investigadores de Citizen Lab en la Universidad de Toronto y la firma de seguridad móvil Lookout informaron que el llamado software de interceptación legal de NSO llamado Pegasus se utilizó para espiar a un activista de derechos humanos en los Emiratos Árabes Unidos.

Tech Data recién adquirido se prepara para inyectar $ 750 millones en la transformación digital

El software espía se implementó en ese momento utilizando tres exploits de día cero de iOS que los investigadores denominaron Trident. Más recientemente, en mayo, informó que se estaba explotando una vulnerabilidad en WhatsApp para entregar Pegasus.

“NSO no vendió y nunca venderá exploits o vulnerabilidades”, dijo un portavoz de NSO Group a CSO en un comunicado enviado por correo electrónico sobre el nuevo exploit de Android. “Este exploit no tiene nada que ver con NSO; nuestro trabajo se centra en el desarrollo de productos diseñados para ayudar a las agencias de inteligencia y de aplicación de la ley con licencia a salvar vidas ”.

Los riesgos de seguridad de los datos amenazan la aprobación del plan chino de cable submarino entre EE. UU. Y Hong Kong

Stone señaló en su informe que Google Project Zero no tiene una muestra del exploit. “Sin muestras, no hemos podido confirmar el cronograma ni la carga útil”, dijo.

Source : Clubic