Vulnerabilidad 0-Day que da control total sobre teléfonos Android

La existencia de una vulnerabilidad ZeroDay daría control total sobre al menos 18 modelos diferentes de teléfonos que usan el sistema operativo Android de Google, incluyéndose entre estos cuatro modelos Pixel, según informaba un investigador de Project Zero de Google el jueves por la noche.

La investigadora Maddie Stone de Project Zero publicó que se han encontrado pruebas de que la vulnerabilidad está siendo explotada de manera activa, ya sea mediante el desarrollador de exploits NSO Group o uno de sus clientes. Los exploits requieren poca o ninguna personalización para poder hacerse con el control total de los teléfonos vulnerables. La vulnerabilidad sobre la que aquí hablamos se puede explotar de dos maneras distintas:

• Cuando la víctima instala una aplicación de una fuente poco confiable.
• Mediante ataques en línea, combinando el primer exploit con un segundo exploit teniendo como objetivo una vulnerabilidad en el código que el navegador Chrome utiliza para mostrar el contenido.

“El bug se trata de una vulnerabilidad consistente en la escalada de privilegios en local, la cual permite comprometer totalmente el dispositivo vulnerable”, escribía Stone. “Si el exploit se lanza vía web, solo necesita ser emparejado con un exploit de visualización, ya que esta vulnerabilidad es accesible a través de sandbox”.

Una lista “no exhaustiva” de teléfonos vulnerables son:

• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Oreo LG phones
• Samsung S7
• Samsung S8
• Samsung S9

Un miembro del equipo Android de Google comunicaba en el mismo hilo de Project Zero que la vulnerabilidad sería parcheada – en dispositivos Pixel – en la actualización de seguridad de Android de octubre, la cual parece que estará disponible en los próximos días. Sin embargo, no está claro para cuándo estarán listas las actualizaciones para el resto de dispositivos. Los modelos Pixel 3 y Pixel 3a no se ven afectados por esta vulnerabilidad.

“Este problema está catalogado como de alto riesgo según Android, y requiere de la instalación de aplicaciones maliciosas para que se lleve a cabo la explotación”, escribía Tim Willis, otro miembro de Project Zero, citando a miembros del equipo de Android. “Cualquier otro vector, como los navegadores web, necesita ser ejecutado con un exploit adicional”.

Los representantes de Google escribieron en un email: “Los modelos Pixel 3 y 3a no son vulnerables, y los modelos Pixel 1 y 2 quedarán protegidos con la actualización de seguridad que se lanzará en octubre en los próximos días. Además, se ha publicado un parche para otros dispositivos para asegurarnos de que el ecosistema Android queda protegido contra esta vulnerabilidad”.

Ya en 2018 se solucionó la vulnerabilidad existente en el kernel de Linux mediante el lanzamiento de la versión 4.14, aunque sin el beneficio de la asignación de un CVE. Dicha solución se incorporó también en las versiones 3.18, 4.4 y 4.9 del kernel de Android. Por razones que no fueron explicadas en la publicación, los parches no fueron incluidos en las actualizaciones de seguridad de Android. Eso explicaría por qué los modelos Pixel son vulnerables mientras que versiones posteriores no lo son. La vulnerabilidad ahora ha sido identificada con el código CVE-2019-2215.

Stone dijo que la información que recibió del Grupo de Análisis de Amenazas de Google apuntaba a que el exploit “presuntamente estaba siendo utilizado o vendido por NSO Group”, un desarrollador de exploits que los vende a entidades gubernamentales. Constituida en Israel,, NSO se hizo con la atención del público tras el descubrimiento y desarrollo en 2016 y 2017 de un spyware avanzado para móviles llamado Pegasus. Este spyware gana privilegios root tanto en dispositivos iOS como Android para rastrear mensajes privados, activar el micrófono y la cámara, y recolectar cualquier tipo de información sensible. Investigadores del Citizen Lab de la Universidad de Toronto comunicaron que la versión de Pegasus que afectaba a iOS tenía como objetivo disidentes políticos de los Emiratos Árabes.

A principios de este año, Citizen Lab descubrió pruebas de que NSO desarrolló un exploit avanzado que afectaba a la aplicación de mensajería instantánea WhatsApp, el cual también instalaba spyware en teléfonos vulnerables, sin necesitar que el usuario realizara ningún tipo de acción. También se relacionó con NSO una operación encubierta que tenía como objetivo a Citizen Lab.

“Como cliente de NSO, me preocuparía que la notoriedad que ha alcanzado NSO conlleve un fuerte escrutinio de equipos e investigadores de seguridad que pudiese acabar afectando a mis operaciones de espionaje más sensibles”, comunicaba a Ars John Scott-Railton, un investigador senior de Citizen Lab.

Los representantes de NSO no respondieron de manera inmediata a un correo en el que se les pedía que hicieran algún tipo de comentario al respecto.

Project Zero da a los desarrolladores 90 días para resolver las vulnerabilidades antes de publicar informes sobre la misma excepto en los casos en los que existan exploits activos. La vulnerabilidad de Android fue publicada siete días después de que se reportase de manera privada al equipo de Android.

Mientras que la vulnerabilidad reportada el jueves es seria, no se pretende crear una alarma excesiva entre los usuarios de Android. Las posibilidades de que se produzca la explotación de una vulnerabilidad tan cara y específica como lo es la descrita por Project Zero son extremadamente bajas. No obstante, se recomienda no instalar aplicaciones que no sean esenciales y utilizar un navegador distinto a Chrome hasta que se instale el parche.

Referencias:

• Android attackers exploit 0day vulnerability that gives full control of Android phones