El Grupo de Análisis de Amenazas de Google reveló hoy nuevos detalles sobre sus esfuerzos para identificar y ayudar a parchear un exploit de día cero que afecta a los dispositivos Android creados por un proveedor de vigilancia comercial y que se remonta al menos a 2016. La investigación, presentada en la conferencia de ciberseguridad Black Hat en Las Vegas, representa el último intento de Google de intensificar sus esfuerzos contra una creciente industria de vigilancia privada que está prosperando, según los investigadores.
La vulnerabilidad en cuestión, denominada CVE-2021-0920, era una Día cero Explotación “in the wild” en un mecanismo de recolección de basura dentro del kernel de Linux, la pieza central de software que gobierna todo el sistema operativo Linux. Google dice que los atacantes, utilizando una cadena de explotación que incluía la vulnerabilidad, pudieron obtener de forma remota los controles de los dispositivos de los usuarios.
Google dice que anteriormente atribuyó una serie de vulnerabilidades de día cero de Android al desarrollador detrás de CVE-2021-0920. En este caso, un portavoz de Google le dijo a Gizmodo que el proveedor de vigilancia usó “varias técnicas de explotación novedosas e invisibles para eludir las mitigaciones defensivas existentes”. Eso, dijo el portavoz, sugiere que el vendedor está bien financiado.
Aunque la vulnerabilidad CVE-2021-0920 se corrigió en septiembre pasado en respuesta a la investigación de Google, dicen que el exploit se identificó antes de 2016 y se informó en la lista de correo del kernel de Linux. En ese momento se ofreció un parche adecuado, pero los desarrolladores de Linux Foundation finalmente lo rechazaron. Google compartió el hilo de correo electrónico público del kernel de Linux desde el momento en que muestra desacuerdo sobre si implementar o no el parche.
“¿Por qué aplicaría un parche que es un RFC, no tiene un mensaje de confirmación adecuado, carece de una aprobación adecuada y también carece de ACK y comentarios de otros desarrolladores expertos”, escribió un desarrollador.
Respondiendo a la era de la vigilancia por encargo
Google ha intensificado sus esfuerzos para detectar e identificar públicamente los grupos de spyware en los últimos años, en parte como respuesta al gran aumento en el número de ataques. En testimonio entregado al Comité de Inteligencia de la Cámara a principios de este año, el Director del Grupo de Análisis de Amenazas de Google, Shane Huntley, dijo: “el crecimiento de los proveedores comerciales de spyware y los grupos de piratería ha requerido un crecimiento en TAG [threat analyses groups] para contrarrestar estas amenazas”.
Huntley dijo que los hallazgos recientes de su equipo sugieren firmas comerciales avanzadas de spyware, como la con sede en Israel Grupo NSO, han logrado adquirir capacidades de piratería que antes estaban reservadas a las agencias de inteligencia patrocinadas por el estado más avanzadas del mundo. El uso de esas técnicas, que pueden incluir exploits sin clic que se apoderan de un dispositivo potencialmente sin que el usuario se involucre con contenido malicioso, parece estar aumentando y se está llevando a cabo a instancias de los gobiernos, sugirió Huntley. Según los informes, siete de los nueve exploits de día cero descubiertos por el equipo de Huntley el año pasado fueron desarrollados por proveedores comerciales y vendidos a actores patrocinados por el estado. Las técnicas de vigilancia altamente técnicas, que alguna vez estuvieron disponibles solo para un grupo selecto de países, ahora pueden ser compradas simplemente por el mejor postor.
“Estos proveedores están permitiendo la proliferación de herramientas de piratería peligrosas, armando a los actores de los estados nacionales que de otro modo no podrían desarrollar estas capacidades internamente”, dijo Huntley. “Si bien el uso de tecnologías de vigilancia puede ser legal según las leyes nacionales o internacionales, algunos actores estatales las utilizan con fines contrarios a los valores democráticos: atacar a disidentes, periodistas, trabajadores de derechos humanos y políticos de partidos de la oposición”.
“Esta industria parece estar prosperando”. dijo Huntley.
Lucas Ropek contribuyó con el reportaje.