Nuevo 0-Day para Android está siendo explotado activamente y compromete millones de móviles

Desde el Project Zero de Google han hecho público una nuevo 0-Day para Android, una vulnerabilidad crítica todavía sin parches que afecta a un buen número de modelos del sistema operativo más usado del mundo.

La investigadora del servicio de seguridad de Google, ha revelado detalles y un exploit de prueba de concepto para la vulnerabilidad de seguridad de alta gravedad etiquetada como CVE-2019-2215. La vulnerabilidad se hecho pública solo siete días después de comunicarlo al equipo responsable de Android, el plazo estándar en caso de fallos que se estén explotando activamente.

El fallo es una escalada de privilegios local que permite comprometer un dispositivo vulnerable de manera completa y se produce cuando el usuario instala una aplicación no confiable o mediante ataques remotos en línea a través del renderizador de contenidos de Chrome. «Si el exploit se activa desde de la web, solo necesita emparejarse con un exploit localizado en el renderizador, ya que esta vulnerabilidad es accesible a través del sandbox utilizado por Chrome», explican.

Se da la circunstancia que este 0-Day para Android está siendo explotado por NSO Group (o algunos de sus clientes), una empresa israelita que se publicita como proveedora de «soluciones de seguridad gubernamentales contra el terrorismo y la gran delincuencia», que ha sido cuestionada durante años por grupos de derechos humanos como Amnistía Internacional al vender sus soluciones a dictaduras que las utilizan contra disidentes políticos y como medio de censura.

Dispositivos vulnerables 0-Day para Android

La vulnerabilidad reside en las versiones del kernel de Android lanzadas antes de abril del año pasado, un parche que se incluyó en el kernel 4.14 LTS Linux lanzado en diciembre de 2017, pero solo se incorporó en las versiones 3.18, 4.4 y 4.9 del kernel de Android AOSP.

Por tanto, la mayoría de los dispositivos Android fabricados y vendidos por la mayoría de los proveedores con el núcleo no parcheado son vulnerables incluso después de tener las últimas actualizaciones de Android. Se incluyen los siguientes modelos de smartphones que suman muchos millones de unidades:

• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Oreo LG phones
• Samsung S7
• Samsung S8
• Samsung S9

Los dispositivos Pixel 3, 3 XL y 3a que ejecutan los últimos núcleos de Android no son vulnerables. Google ha anunciado que los parches para el resto de terminales propios (Pixel) empezarán a ser distribuidos en la actualización de seguridad de octubre. No podemos precisar cuando estarán disponibles para el resto de modelos ya que su distribución depende de los propios fabricantes.