El lunes, Google lanzó una actualización para Android que soluciona dos fallas de día cero que “pueden estar bajo explotación limitada y específica”, como lo expresó la compañía. Eso significa que Google es consciente de que los piratas informáticos han estado y aún pueden estar utilizando los errores para comprometer los dispositivos Android en escenarios del mundo real.
Uno de los dos días cero ahora fijos, rastreado como CVE-2024-53197, fue identificado por Amnistía Internacional en colaboración con Benoît Sevens del Grupo de Análisis de Amenazas de Google, el equipo de seguridad del gigante tecnológico que rastrea los ciberactivos respaldados por el gobierno.
En febrero, Amnistía dijo que había encontrado que Cellebrite, una compañía que vende dispositivos a la policía para desbloquear y analizar forenses teléfonos, estaba aprovechando una cadena de tres vulnerabilidades de día cero para piratear teléfonos Android.
Contáctenos
¿Tiene más información sobre los días cero de Android? Desde un dispositivo no laboral, puede comunicarse con Lorenzo Franceschi-Bicchierai de forma segura en la señal al +1 917 257 1382, o por telegrama y keybase @lorenzofb, o correo electrónico. También puede comunicarse con TechCrunch a través de SecureDROP.
En este caso, la amnistía encontró las vulnerabilidades, incluida la que se parchó el lunes, siendo utilizada contra un activista estudiantil serbio por las autoridades locales armadas con Cellebrite.
Sin embargo, no hay mucha información sobre la segunda vulnerabilidad, CVE-2024-53150, parcheada el lunes, aparte del hecho de que su descubrimiento también fue acreditado a los siete de Google y que la falla se encontró en el núcleo, el núcleo de un sistema operativo.
Google y Amnistía no respondieron de inmediato a una solicitud de comentarios.
El gigante tecnológico dijo en su asesoramiento que “el más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente del sistema que podría conducir a una escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales” y que “la interacción del usuario no es necesaria para la explotación”.
Google dijo que impulsaría los parches del código fuente para los dos días cero fijos dentro de las 48 horas posteriores al aviso, al tiempo que señala que los socios de Android son “notificados de todos los problemas al menos un mes antes de la publicación”.
Dada la naturaleza de código abierto de Android, cada fabricante de teléfonos ahora tiene que empujar los parches a sus propios usuarios.
