Una nueva vulnerabilidad de día cero se ha descubierto en Android. Si se explota, la falla podría dar a un atacante local escalada de privilegios en el dispositivo comprometido. De acuerdo con investigadores de la Iniciativa Día Cero de TrendMicro lanza Jiang y Li Moony, la falla se encuentra dentro del controlador v4l2 (Video4Linux 2) en Android.
Vulnerabilidad de día cero muy crítico en Android
cuando explotados, este componente no valida la existencia de un objeto antes de realizar operaciones en el mismo objeto. Un atacante local podría aprovechar la vulnerabilidad de escalada de privilegios en el kernel. Finalmente, esto podría conceder al atacante acceso completo y control sobre el dispositivo Android. Esto hace que la vulnerabilidad muy grave, especialmente cuando está siendo divulgada públicamente sin un parche.
La vulnerabilidad fue reportada por primera vez a Google en marzo 13, 2019. El miércoles, el asesoramiento coordinado fue lanzado al público. Cabe señalar que cuando la empresa se puso en contacto por primera vez por ZDI, confirmó que el tema y dijo que podría ser fijo, pero sin aclarar cuándo un parche podría ser liberado.
“Dada la naturaleza de la vulnerabilidad, la única estrategia de mitigación saliente es restringir la interacción con el servicio. Sólo los clientes y servidores que tienen una relación procesal legítima con el servicio debe permitir comunicarse con él,” el asesor dijo.
La vulnerabilidad se hace público, al mismo tiempo, cuando Google lanzó su reunión de septiembre del boletín de seguridad de Android. El boletín se dirige a dos errores de ejecución remota de código críticos en el marco de medios. El día cero en cuestión, sin embargo, se da a conocer por separado y no es parte del boletín.
Es curioso observar que un par de días atrás Zerodium actualiza su lista de precios y en la actualidad está ofreciendo recompensas más grandes para las vulnerabilidades de Android. Esto sucede por primera vez en la historia, como defectos de iOS han sido siempre en la parte superior de la lista de hazañas móvil. Desde ahora, un Android cero-clic explotar cadena que no requiere interacción con el usuario podría hacer que los investigadores un pago de hasta $2.5 millones, mientras que la misma cadena de explotar en IOS se estima en $2 millones.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: