Una nueva vulnerabilidad ha sido descubierta en el sistema operativo Android, que puede poner en peligro varios teléfonos que están en el mercado.
No es la primera ni será la última vez que algo por el estilo suceda, pero en este caso hay que tomar mayores precauciones por el tipo de falla encontrado.
Expertos en seguridad del Project Zero de Google han encontrado una vulnerabilidad de día cero en Android que permitiría a un atacante hacerse del acceso root de un dispositivo. La lista de terminales afectados contiene modelos de Huawei, Xiaomi, Samsung y la misma Google, con los Pixel 1 y 2.
El exploit reside en el kernel de Android y afecta a las versiones 8.x y posteriores. De acuerdo con el equipo de Android, el fallo está considerado de "alta gravedad", aunque no tan grave como parece. La vulnerabilidad no puede explotarse sin la interacción del usuario y requiere de la instalación de una aplicación maliciosa. Si se distribuye vía web, necesita emparejarse con un exploit de renderizador.
La vulnerabilidad fue descubierta el 27 de septiembre y fue revelada al equipo de Android. Dado que la política solo otorga siete días de gracia para resolverlo antes de hacerlo público, el Project Zero esperó hasta hoy para revelarlo. Curiosamente este fallo ya había sido reportado y parcheado en cuatro versiones del kernel de Android durante 2017.
La lista de teléfonos afectados por el exploit incluye los siguientes modelos:
Samsung Galaxy S7
Samsung Galaxy S8
Samsung Galaxy S9
Pixel 1 y Pixel 1 XL
Pixel 2 y Pixel 2 XL
Huawei P20
Xiaomi Redmi 5A
Xiaomi Redmi Note 5
Xiaomi A1
Oppo A3
Moto Z3
Google confirmó que los Pixel 1 y 2 recibirán el parche durante la actualización de octubre. Los Pixel 3 y Pixel 3A no se ven afectados. El equipo de Android ya ha notificado a sus socios y reveló que la actualización ya se encuentra disponible en el kernel común del sistema operativo.
Vale la pena mencionar que la lista no es exhaustiva, por lo que más teléfonos podrían verse afectados por este fallo de seguridad.
Posible obra del NSO Group
En la descripción del exploit, Google menciona que el NSO Group podría ser responsable de haber vendido o utilizado esta vulnerabilidad. El Grupo de Análisis de Amenazas (TAG) sospecha de la empresa israelí que normalmente se dedica a la venta de exploits a gobiernos para realizar espionaje.
Al NSO Group se le atribuye el software Pegasus, utilizado en el ciberataque contra periodistas en México durante 2017. Recientemente WhatsApp reveló la existencia de una vulnerabilidad que permitía instalar spyware en teléfonos iOS y Android, misma que fue aprovechada para desplegar Pegasus.
En un comunicado enviado a diversos medios de comunicación, el NSO Group se desvinculó de la nueva vulnerabilidad zero day de Android, argumentando que su trabajo se centra en el "desarrollo de productos diseñados para ayudar a las agencias de aplicación de la ley y de inteligencia con licencia a salvar vidas", indicó Hipertextual.