Una vulnerabilitat que s'ha solucionat en versions anteriors a Android des de principis de l'any passat, ha ressorgit, Ja que recentment si va descobrir que els atacants estaven explotant activament una vulnerabilitat "zero-day" en Android que els permet prendre el control total de diversos models de telèfons, inclosos 4 models Google Pixel, Huawei, dispositius Xiaomi, Samsung i altres, va dir un membre de l'Google Zero Project Research Group.
la vulnerabilitat ha estat qualificada com «d'alta gravetat» en Android i el que és pitjor, l'exploit requereix poca o cap personalització per rootear completament els telèfons vulnerables. Un missatge de el grup de recerca de Google va suggerir que l'error, descobert la setmana passada, va ser explotat activament, ja sigui per NSO Group o per un dels seus clients.
No obstant això, els representants de el grup van declinar qualsevol responsabilitat per l'explotació de l'error. NSO Group és un desenvolupador de gestes i spyware que ven a diverses entitats governamentals.
En un correu electrònic, els representants de el Grup NSO van escriure després de la divulgació de l'exploit:
«NSO no ha venut i mai vendrà gestes o vulnerabilitats. Aquesta gesta no té res a veure amb NSO; nostre treball se centra en el desenvolupament de productes dissenyats per ajudar les agències d'intel·ligència i agències d'aplicació de la llei a salvar vides «.
El grup, amb seu a Israel i especialitzat en assistència tècnica a governs per l'espionatge de terminals mòbils i el desenvolupament de «armes digitals», ha estat il·lustrat com a tal amb el descobriment en 2016 i 2017, per investigadors de l'Citizen Lab de la Universitat de Toronto, un programari espia mòbil avançat que va desenvolupar i va batejar Pegasus.
Google també ha estat diligent i puntual amb els pegats de seguretat (Tan recentment com el mes passat, Google va llançar pegats de seguretat per a telèfons Google Pixel i per a molts altres telèfons). Però tot això no va evitar noves vulnerabilitats en Android.
Aquest exploit és una escalada de privilegis de nucli que utilitzen una vulnerabilitat, el que permet a l'atacant comprometre completament un dispositiu vulnerable i rootearlo. A causa de que també es pot accedir a l'exploit des del sandbox de Chrome, també es pot lliurar a través del web una vegada que es combina amb un exploit que apunta a una vulnerabilitat en el codi de Chrome que s'utilitza per representar el contingut.
aquesta vulnerabilitat es creia que va ser corregida a principis de 2018 en Linux Kernel LTS versió 4.14 però sense seguiment CVE. La solució es va incorporar a les versions 3.18, 4.4 i 4.9 de l'nucli d'Android. No obstant això, la solució no va arribar a les actualitzacions de seguretat d'Android que van seguir, deixant diversos dispositius vulnerables a aquesta falla que ara es rastreja com CVE-2019-2215.
Maddie Stone, membre de el Projecte Zero, va dir en un missatge que «l'error és una vulnerabilitat que augmenta els privilegis locals i permet un compromís complet d'un dispositiu vulnerable».
És a dir, un atacant pot instal·lar una aplicació maliciosa en els dispositius afectats i arribar a l'root sense el coneixement de l'usuari, perquè pugui tenir el control total de l'aparell. I atès que es pot combinar amb un altre exploit en el navegador Chrome, l'atacant també pot lliurar l'aplicació maliciosa a través del navegador web, eliminant la necessitat d'accés físic a l'aparell.
La llista «no exhaustiva» de dispositius que el grup de recerca de Google ha publicat com a dispositius afectats és:
- Pixel 1
- Pixel 1 XL
- Pixel 2
- Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- oposi A3
- Motocicleta Z3
- telèfons LG
- Samsung S7
- Samsung S8
- Samsung S9
L'equip d'investigació de Project Zero va compartir una prova d'explotació de concepte local per demostrar com es pot utilitzar aquest error per obtenir una lectura / escriptura arbitrària de l'nucli durant l'execució local.
No obstant això, un altre membre de l'equip Zero Project de Google va dir que la vulnerabilitat ja es corregirà en l'actualització de seguretat d'Android d'octubre, que probablement estarà disponible en els propers dies.