Expertos en seguridad del Project Zero de Google han encontrado una vulnerabilidad de día cero en Android que permitiría a un atacante hacerse del acceso root de un dispositivo. La lista de terminales afectados contiene modelos de Huawei, Xiaomi, Samsung y la misma Google, con los Pixel 1 y 2.
El exploit reside en el kernel de Android y afecta a las versiones 8.x y posteriores. De acuerdo con el equipo de Android, el fallo está considerado de "alta gravedad", aunque no tan grave como parece. La vulnerabilidad no puede explotarse sin la interacción del usuario y requiere de la instalación de una aplicación maliciosa. Si se distribuye vía web, necesita emparejarse con un exploit de renderizador.
La vulnerabilidad fue descubierta el 27 de septiembre y fue revelada al equipo de Android. Dado que la política solo otorga siete días de gracia para resolverlo antes de hacerlo público, el Project Zero esperó hasta hoy para revelarlo. Curiosamente este fallo ya había sido reportado y parcheado en cuatro versiones del kernel de Android durante 2017.
Galaxy S9 y Pixel 2, entre los afectados
La lista de teléfonos afectados por el exploit incluye los siguientes modelos:
- Samsung Galaxy S7
- Samsung Galaxy S8
- Samsung Galaxy S9
- Pixel 1 y Pixel 1 XL
- Pixel 2 y Pixel 2 XL
- Huawei P20
- Xiaomi Redmi 5A
- Xiaomi Redmi Note 5
- Xiaomi A1
- Oppo A3
- Moto Z3
Google confirmó que los Pixel 1 y 2 recibirán el parche durante la actualización de octubre. Los Pixel 3 y Pixel 3A no se ven afectados. El equipo de Android ya ha notificado a sus socios y reveló que la actualización ya se encuentra disponible en el kernel común del sistema operativo.
Vale la pena mencionar que la lista no es exhaustiva, por lo que más teléfonos podrían verse afectados por este fallo de seguridad.
Posible obra del NSO Group
En la descripción del exploit, Google menciona que el NSO Group podría ser responsable de haber vendido o utilizado esta vulnerabilidad. El Grupo de Análisis de Amenazas (TAG) sospecha de la empresa israelí que normalmente se dedica a la venta de exploits a gobiernos para realizar espionaje.
Al NSO Group se le atribuye el software Pegasus, utilizado en el ciberataque contra periodistas en México durante 2017. Recientemente WhatsApp reveló la existencia de una vulnerabilidad que permitía instalar spyware en teléfonos iOS y Android, misma que fue aprovechada para desplegar Pegasus.
En un comunicado enviado a diversos medios de comunicación, el NSO Group se desvinculó de la nueva vulnerabilidad zero day de Android, argumentando que su trabajo se centra en el "desarrollo de productos diseñados para ayudar a las agencias de aplicación de la ley y de inteligencia con licencia a salvar vidas".