El equipo Project Zero de Google obtuvo evidencia de que existe una cadena de explotación para varios dispositivos Samsung, que provino de un proveedor comercial de vigilancia. A través de esto, permite a un atacante obtener y acceder a privilegios de lectura y escritura del kernel que pueden exponer datos.
Cadena de explotación parcial para dispositivos Samsung
La evidencia fue presentada por Proyecto Cero de Google que dice que un proveedor de vigilancia comercial apuntó a los teléfonos inteligentes Samsung y explota tres vulnerabilidades de seguridad de día cero. Estos se descubrieron a través del software personalizado de los dispositivos y se utilizaron todos juntos para la cadena de explotación. Según el informe del equipo, les dará a los atacantes acceso donde podrán obtener privilegios de lectura y escritura del kernel, ya que serán el usuario root.
La investigadora de seguridad de Google Project Zero, Maddie Stone, afirmó que los teléfonos Samsung con un chip Exynos que ejecuta una versión específica del kernel fueron el principal objetivo de la cadena de exploits. Este tipo de teléfonos se encuentran actualmente en el mercado en diferentes zonas como Europa, Oriente Medio y África. También agregó que los dispositivos afectados por esto son los Samsung S10, A50 y A51.
Basado en un informe de TechCrunch, los problemas ya fueron solucionados. Las vulnerabilidades fueron explotadas por una aplicación de Android que engañó a algunos usuarios para que la instalaran sin utilizar Google App Store. La aplicación “maliciosa”, como se describe en el informe, permitió a los atacantes escapar del entorno limitado de la aplicación, que está específicamente diseñada para proteger la actividad y el acceso al sistema operativo del dispositivo.
“La primera vulnerabilidad en esta cadena, la lectura y escritura arbitraria de archivos, fue la base de esta cadena, se usó cuatro veces diferentes y se usó al menos una vez en cada paso. Los componentes Java en los dispositivos Android no tienden a ser los más populares objetivos para los investigadores de seguridad a pesar de que se ejecuta en un nivel tan privilegiado”, afirmó Stone.
Lea también: ¡Google descubre que piratas informáticos norcoreanos de APT amenazan a los investigadores de seguridad a través de malware en las redes sociales!
Google no indicó el nombre del proveedor de vigilancia comercial. Sin embargo, reveló que el patrón que se utilizó para la explotación era muy similar a las infecciones de dispositivos recientes que fueron abusadas por varias aplicaciones peligrosas de Android, ya que entregaban “poderoso software espía de estado-nación”.
Implementación de parches
El informe confirmó que esto se informó a Samsung a fines de 2020, pero implementó parches en marzo de 2021 para los dispositivos afectados. Samsung tampoco reveló ninguna información sobre las vulnerabilidades que esto puede causar a los usuarios durante ese tiempo.
Stone afirmó: “El análisis de esta cadena de exploits nos ha proporcionado información nueva e importante sobre cómo los atacantes se dirigen a los dispositivos Android”. También sugirió que se podrían detectar nuevas vulnerabilidades al especificarlas en la investigación.
ⓒ 2023 . .
