Hackers desconocidos han estado explotando cuatro vulnerabilidades de Android que permiten la ejecución de código malicioso que puede tomar el control total de los dispositivos, advirtió Google el miércoles.
Las cuatro vulnerabilidades se revelaron hace dos semanas en el Boletín de seguridad de Android de Google de mayo. Google ha publicado actualizaciones de seguridad para los fabricantes de dispositivos, quienes luego son responsables de distribuir los parches a los usuarios.
El boletín de Google del 3 de mayo inicialmente no informó que ninguna de las aproximadamente 50 vulnerabilidades que cubría estuvieran bajo explotación activa. El miércoles, Google actualizó el aviso para decir que hay «indicaciones» de que cuatro de las vulnerabilidades «pueden estar bajo explotación limitada y dirigida». Maddie Stone, miembro del grupo de investigación de exploits Project Zero de Google, eliminó la ambigüedad. Ella declarado en Twitter que las «4 vulnerabilidades fueron explotadas en estado salvaje» como días cero.
Android actualizó la seguridad de mayo con notas de que 4 vulnerabilidades fueron explotadas en estado salvaje.
GPU Qualcomm: CVE-2023-1905, CVE-2023-1906
GPU ARM Malí: CVE-2023-28663, CVE-2023-28664https://t.co/mT8vE2Us74— Maddie Piedra (@maddiestone) 19 de mayo de 2023
Control completo
Las explotaciones exitosas de las vulnerabilidades “darían un control completo del terminal móvil de la víctima”, dijo en un correo electrónico Asaf Peleg, vicepresidente de proyectos estratégicos de la firma de seguridad Zimperium. “Desde elevar los privilegios más allá de lo que está disponible de forma predeterminada hasta ejecutar código fuera del entorno de pruebas existente del proceso actual, el dispositivo estaría completamente comprometido y ningún dato estaría seguro”.
Hasta ahora, se han revelado cuatro vulnerabilidades de día cero de Android este año, en comparación con una para todo 2023, según cifras de Zimperium.
Dos de las vulnerabilidades se encuentran en la CPU Snapdragon de Qualcomm, que alimenta la mayoría de los dispositivos Android en los EE. UU. y una gran cantidad de teléfonos en el extranjero. CVE-2023-1905, como se rastrea la primera vulnerabilidad, es una falla de corrupción de memoria que permite a los atacantes ejecutar código malicioso con privilegios de root sin restricciones. La vulnerabilidad se clasifica como grave, con una calificación de 7,8 sobre 10.
La otra vulnerabilidad, CVE-2023-1906, es una falla lógica que puede causar fallas en la asignación de nuevas direcciones de memoria GPU. La calificación de gravedad es 5.5. Con frecuencia, los piratas informáticos encadenan dos o más exploits para eludir las protecciones de seguridad. Es probable que ese sea el caso con los dos defectos de Snapdragon.
Las otras dos vulnerabilidades bajo ataque residen en controladores que funcionan con procesadores gráficos ARM. Tanto CVE-2023-28663 como CVE-2023-28664 también son fallas de corrupción de memoria que permiten a los atacantes obtener acceso de root en dispositivos vulnerables.
Ningún consejo procesable de Google
No hay otros detalles sobre los ataques en estado salvaje. Los representantes de Google no respondieron a los correos electrónicos que preguntaban cómo los usuarios pueden saber si han sido atacados.
La habilidad requerida para explotar las vulnerabilidades ha llevado a algunos investigadores a especular que los ataques probablemente sean obra de piratas informáticos respaldados por estados Marketingdecontenidoes.
“La complejidad de este vector de ataque móvil no es desconocida, pero está fuera de las capacidades de un atacante con un conocimiento rudimentario o incluso intermedio de la piratería de puntos finales móviles”, dijo Peleg. “Cualquier atacante que use esta vulnerabilidad probablemente lo haga como parte de una campaña más grande contra un individuo, empresa o gobierno con el objetivo de robar información crítica y privada”.
No está claro precisamente cómo alguien podría explotar las vulnerabilidades. El atacante podría enviar mensajes de texto maliciosos o engañar a los objetivos para que instalen una aplicación maliciosa o visiten un sitio web malicioso.
Sin más información procesable de Google, es imposible brindar consejos útiles a los usuarios de Android, excepto decir que deben asegurarse de que se hayan instalado todas las actualizaciones. Aquellos que usen dispositivos Android de Google recibirán parches automáticamente en el lanzamiento de seguridad de mayo. Los usuarios de otros dispositivos deben consultar con el fabricante.
