Hackers desconocidos han estado explotando cuatro vulnerabilidades de Android que permiten la ejecución de código malicioso que puede tomar el control completo de los dispositivos, advirtió Google el miércoles.
Las cuatro vulnerabilidades fueron divulgado hace dos semanas en el Boletín de seguridad de Android de Google de mayo. Google ha lanzado actualizaciones de seguridad para los fabricantes de dispositivos, quienes luego son responsables de distribuir los parches a los usuarios.
El boletín de Google del 3 de mayo inicialmente no informó que ninguna de las aproximadamente 50 vulnerabilidades que cubría estuviera bajo explotación activa. El miércoles, Google actualizó el aviso para decir que hay “indicios” de que cuatro de las vulnerabilidades “pueden estar bajo explotación limitada y dirigida”. Maddie Stone, miembro del grupo de investigación de exploits Project Zero de Google, eliminó la ambigüedad. Ella declaró en Twitter
Android ha actualizado la seguridad de mayo con notas de que 4 vulns fueron explotados en estado salvaje.
GPU de Qualcomm: CVE-2021-1905, CVE-2021-1906
GPU ARM Mali: CVE-2021-28663, CVE-2021-28664https://t.co/mT8vE2Us74– Maddie Stone (@maddiestone) 19 de mayo de 2021
Control completo
Las explotaciones exitosas de las vulnerabilidades “darían un control completo del punto final móvil de la víctima”, dijo Asaf Peleg, vicepresidente de proyectos estratégicos de la firma de seguridad Zimperium, en un correo electrónico. “Desde elevar los privilegios más allá de lo que está disponible de forma predeterminada hasta ejecutar código fuera de la zona de pruebas existente del proceso actual, el dispositivo estaría completamente comprometido y ningún dato estaría seguro”.
Hasta ahora, se han revelado cuatro vulnerabilidades de día cero de Android este año, en comparación con una para todo 2020, según cifras de Zimperium.
Dos de las vulnerabilidades están en la CPU Snapdragon de Qualcomm, que alimenta la mayoría de los dispositivos Android en los EE. UU. Y una gran cantidad de teléfonos en el extranjero. CVE-2021-1905, como se rastrea la primera vulnerabilidad, es una falla de corrupción de memoria que permite a los atacantes ejecutar código malicioso con privilegios de root sin restricciones. La vulnerabilidad se clasifica como grave, con una calificación de 7.8 de 10
La otra vulnerabilidad, CVE-2021-1906, es una falla lógica que puede causar fallas en la asignación de nuevas direcciones de memoria GPU. La clasificación de gravedad es 5.5. Con frecuencia, los piratas informáticos encadenan dos o más exploits para eludir las protecciones de seguridad. Ese es probablemente el caso de las dos fallas de Snapdragon.
La otras dos vulnerabilidades bajo ataque residen en controladores que funcionan con procesadores gráficos ARM. Tanto CVE-2021-28663 como CVE-2021-28664 también son fallas de corrupción de memoria que permiten a los atacantes obtener acceso de root en dispositivos vulnerables.
Ningún consejo procesable de Google
No hay más detalles sobre los ataques en estado salvaje. Los representantes de Google no respondieron a los correos electrónicos preguntando cómo los usuarios pueden saber si han sido atacados.
La habilidad requerida para explotar las vulnerabilidades ha llevado a algunos investigadores a especular que es probable que los ataques sean obra de piratas informáticos respaldados por estados nacionales.
“La complejidad de este vector de ataque móvil no es desconocida, pero está fuera de las capacidades de un atacante con conocimientos rudimentarios o incluso intermedios en piratería de terminales móviles”, dijo Peleg. “Es muy probable que cualquier atacante que utilice esta vulnerabilidad lo haga como parte de una campaña más amplia contra un individuo, empresa o gobierno con el objetivo de robar información crítica y privada”.
No está claro exactamente cómo alguien aprovecharía las vulnerabilidades. El atacante podría enviar mensajes de texto maliciosos o engañar a los objetivos para que instalen una aplicación maliciosa o visiten un sitio web malicioso.
Sin más información procesable de Google, es imposible brindar consejos útiles a los usuarios de Android, excepto para decirles que deben asegurarse de que se hayan instalado todas las actualizaciones. Aquellos que usan dispositivos Android de Google recibirán automáticamente parches en el lanzamiento de seguridad de mayo. Los usuarios de otros dispositivos deben consultar con el fabricante.