Expertos del equipo de investigación de seguridad de Google Project Zero informaron sobre un fallo que permitiría a potenciales ciberdelincuentes tomar el control remoto sobre un dispositivo ajeno. Se trata de la vulnerabilidad CVE-2019-0797 o 'día-cero' (en inglés, zero-day), que abre una brecha en el 'software' que puede hallarse en navegadores o en aplicaciones.
Investigadores de Google encontraron este fallo el pasado 27 de septiembre y dieron al equipo de Android siete días para solucionarlo. Este 4 de octubre, el informe de Google Project Zero se hizo público.
En su blog, los expertos presentaron una lista de los modelos que, según sus estimaciones, son vulnerables al ataque del malicioso código: Pixel 2, con 'software' Android 9 y Android 10; Huawei P20; Xiaomi Redmi 5A, Xiaomi Redmi Note 5 y Xiaomi A1; Oppo A3; Moto Z3; los móviles de LG con el sistema operativo Android Oreo y los Samsung S7, S8 y S9.
Medidas de seguridad
Un portavoz del equipo de Android , que comentó el reporte de los investigadores de Google, confirmó en un comunicado que se trata de un problema de "alta gravedad" y que los socios de Android han sido informados. Sin embargo, afirmó que este fallo no puede explotarse sin la interacción del usuario: requiere la instalación de una aplicación maliciosa o de un 'exploit' (fragmento de software) adicional, que se distribuye a través de un navegador web.
"El parche está disponible en Android Common Kernel. [Los dispositivos] Pixel 3 y 3a no se ven vulnerables, mientras que Pixel 1 y 2 recibirán actualizaciones para este problema, como parte de la actualización de octubre", reza el comunicado.
No es la primera vez que surge esta vulnerabilidad. Fue detectada por primera vez en 2017. En ese momento se presentó en cuatro versiones de Kernel (un software del sistema operativo de Android) y los desarrolladores corrigieron el problema al incorporar en los dispositivos afectados un parche de seguridad. Aparentemente, las versiones de Kernel más modernas siguen siendo vulnerables a este error.
Etiquetas: