[04/10/2019] El equipo del Proyecto Cero de Google está advirtiendo a los usuarios de los modelos Pixel, Pixel 2, Galaxy S9, Huawei P20 y millones de otros usuarios de teléfonos Android que una nueva vulnerabilidad de día cero podría permitir que un hacker tome el control total de su teléfono. Y lo que es peor, hay evidencia de que está siendo explotado activamente en la naturaleza.
Como descubrió por primera vez Ars Technica, el problema se parcheó por primera vez en la actualización de seguridad de diciembre del 2017, pero varios teléfonos "siguen siendo vulnerables según la revisión del código fuente". Según Google, los teléfonos en riesgo incluyen:
- Pixel y Pixel 2
- Samsung Galaxy S7, S8 y S9
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Nota 5
- Xiaomi A1
- Oppo A3
- Motor Z3
- Teléfonos LG con Android 8 Oreo
Según Google, la vulnerabilidad "requiere poca o ninguna personalización por dispositivo", pero sí requiere la instalación de "una aplicación maliciosa", ya sea "dentro de la caja de arena de Chrome", o a través de un almacén o fuente de aplicaciones no fiable. Esto significa que no se puede ejecutar de forma remota, por lo que puede estar seguro con solo estar atento.
Como explica la investigadora Maddie Stone, "el error es una vulnerabilidad de escalada de privilegios locales que permite un compromiso total de un dispositivo vulnerable. Si el exploit se entrega a través de la web, solo necesita ser emparejado con un exploit del renderizador, ya que esta vulnerabilidad es accesible a través del sandbox".
Google aumentó el error de 30 días de divulgación pública a 7 días después de descubrir que estaba siendo explotado activamente por el grupo de la NSO, un conocido "desarrollador de hazañas" con sede en Israel. Como explica Ars Technica, el grupo estaba previamente conectado al spyware Pegasus que surgió en el 2016 en dispositivos móviles.
En una declaración, Google aseguró que una solución estará disponible en breve: "Los dispositivos Pixel 1 y 2 estarán protegidos con la versión de seguridad de octubre, que se entregará en los próximos días. Además, se ha puesto a disposición de los socios un parche para asegurar que el ecosistema Android esté protegido contra este problema". Los píxeles 3 y 3a no se ven afectados por el exploit.
Aunque la probabilidad de que esta vulnerabilidad afecte a su teléfono sigue siendo baja, probablemente debería mantenerse alejado de las aplicaciones no confiables hasta que llegue la actualización de seguridad de octubre.
Michael Simon, PC World (EE.UU.)