Google dice que el proveedor de vigilancia apuntó a los teléfonos Samsung con cero días – TechCrunch

Google dice que tiene evidencia de que un proveedor de vigilancia comercial estaba explotando tres vulnerabilidades de seguridad de día cero encontradas en los nuevos teléfonos inteligentes Samsung.

Las vulnerabilidades, descubiertas en el software personalizado de Samsung, se usaron juntas como parte de una cadena de explotación para apuntar a los teléfonos Samsung con Android. Las vulnerabilidades encadenadas permiten a un atacante obtener privilegios de lectura y escritura del kernel como usuario raíz y, en última instancia, exponer los datos de un dispositivo.

La investigadora de seguridad de Google Project Zero, Maddie Stone, dijo en un entrada en el blog que la cadena de exploits tiene como objetivo los teléfonos Samsung con un chip Exynos que ejecuta una versión específica del kernel. Los teléfonos Samsung se venden con chips Exynos principalmente en Europa, Medio Oriente y África, donde es probable que estén los objetivos de vigilancia.

Stone dijo que los teléfonos Samsung que ejecutan el kernel afectado en ese momento incluyen el S10A50 y A51.

Las fallas, una vez corregidas, fueron explotadas por una aplicación maliciosa de Android, que el usuario pudo haber sido engañado para que la instalara desde fuera de la App Store. La aplicación maliciosa permite al atacante escapar de la zona de pruebas de la aplicación diseñada para contener su actividad y obtener acceso al resto del sistema operativo del dispositivo. Solo se obtuvo un componente de la aplicación de explotación, dijo Stone, por lo que no está claro cuál fue la carga útil final, aunque las tres vulnerabilidades allanaron el camino para su eventual entrega.

“La primera vulnerabilidad de esta cadena, la archivo arbitrario de lectura y escritura, fue la base de esta cadena, se usó cuatro veces y se usó al menos una vez en cada paso”, escribió Stone. “Los componentes Java de los dispositivos Android no tienden a ser los objetivos más populares para los investigadores de seguridad a pesar de operar en un nivel tan privilegiado”, dijo Stone.

Google se negó a nombrar al proveedor de vigilancia comercial, pero dijo que el exploit sigue un patrón similar a las infecciones recientes de dispositivos donde las aplicaciones maliciosas de Android se usaron indebidamente para entregar un potente spyware doméstico.

A principios de este año, los investigadores de seguridad descubrieron Hermit, un Programas espía para Android y iOS desarrollado por RCS Lab y utilizado en ataques dirigidos por gobiernos, con víctimas conocidas en Italia y Kazajstán. Hermit se basa en engañar a un objetivo para que descargue e instale la aplicación maliciosa, como una aplicación de soporte de un operador de telefonía móvil disfrazada, desde fuera de la App Store, pero roba y luego captura en silencio los contactos, las grabaciones de audio, las fotos, los videos y los datos granulares de ubicación de la víctima. Google ha comenzado a notificar a los usuarios de Android cuáles los dispositivos fueron comprometidos por Hermit. El proveedor de monitoreo Connexxa también usó aplicaciones maliciosas descargadas para dirigirse a los propietarios de Android y iPhone.

Google informó las tres vulnerabilidades a Samsung a fines de 2020, y Samsung implementó parches para los teléfonos afectados en marzo de 2021, pero no reveló en ese momento que las vulnerabilidades se estaban explotando activamente. Stone dijo que Samsung se comprometió desde entonces a comenzar a revelar cuándo las vulnerabilidades se están explotando activamente, siguiendo Manzana y Googlequienes también divulgan en sus actualizaciones de seguridad cuando se atacan vulnerabilidades.

“El análisis de esta cadena de exploits nos ha brindado nuevos e importantes conocimientos sobre cómo los atacantes se dirigen a los dispositivos Android”, agregó Stone, dando a entender que una mayor investigación podría descubrir nuevas vulnerabilidades en el software personalizado creado por los fabricantes de dispositivos Android, como Samsung.

“Esto destaca la necesidad de seguir investigando los componentes específicos del fabricante. Esto muestra dónde necesitamos hacer un análisis de variantes más profundo”, dijo Stone.