Google revela nuevo 0-Day para Android que compromete a millones de dispositivos

Los expertos de seguridad informática de Project Zero de Google acaban de hacer público un nuevo 0-Day para Android, una vulnerabilidad crítica y grave todavía sin parches a la que han etiquetado como CVE-2019-2215 y que afecta a un buen número de modelos del sistema operativo más usado del mundo.

La investigadora de Google, según explica MuySeguridad, ha revelado detalles y un exploit de prueba de concepto para la vulnerabilidad solo siete días después de comunicarlo al equipo responsable de Android, el plazo estándar en caso de fallos que se estén explotando activamente. Eso porque, evidentemente, está siendo explotado justo ahora.

El fallo en sí es una escalada de privilegios local que permite comprometer un dispositivo vulnerable de manera completa. Se produce cuando el usuario instala una aplicación no confiable o mediante ataques remotos en línea a través del renderizador de contenidos de Chrome. “Si el exploit se activa desde de la web, solo necesita emparejarse con un exploit localizado en el renderizador, ya que esta vulnerabilidad es accesible a través del sandbox utilizado por Chrome”, explica Project Zero.

Se da la circunstancia que este 0-Day para Android está siendo explotado por NSO Group (o algunos de sus clientes), una empresa israelita que se publicita como proveedora de ‘soluciones de seguridad gubernamentales contra el terrorismo y la gran delincuencia’. ¿Y cuáles son los dispositivos vulnerables?

La vulnerabilidad reside en las versiones del kernel de Android lanzadas antes de abril del año pasado. Eso significa que la mayoría de los dispositivos fabricados y vendidos por los proveedores con el núcleo no parcheado son vulnerables incluso después de tener las últimas actualizaciones del sistema operativo. Y los modelos son:

  • Pixel 1
  • Pixel 1 XL
  • Pixel 2
  • Pixel 2 XL
  • Huawei P20
  • Xiaomi Redmi 5A
  • Xiaomi Redmi Note 5
  • Xiaomi A1
  • Oppo A3
  • Moto Z3
  • Oreo LG phones
  • Samsung S7
  • Samsung S8
  • Samsung S9