Un exploit es un código malicioso que aprovecha una vulnerabilidad en un sistema para ejecutar acciones no autorizadas. Recientemente, se ha publicado en GitHub un exploit para una vulnerabilidad de elevación de privilegios locales que afecta al menos a siete fabricantes de dispositivos Android. Esta vulnerabilidad, identificada como CVE-2023-45779, fue descubierta por el equipo de Red Team X de Meta en septiembre de 2023 y fue corregida en la actualización de seguridad de diciembre de 2023 de Android sin revelar su gravedad.
Un demostrativo de prueba de concepto (PoC) que explora una vulnerabilidad de elevación de privilegios local, afectando a al menos siete fabricantes de dispositivos Android, ahora está disponible públicamente en GitHub. Sin embargo, dado que este exploit requiere acceso físico al dispositivo, su divulgación será beneficiosa principalmente para los investigadores de seguridad.
Esta vulnerabilidad, conocida como CVE-2023-45779, fue identificada por el equipo Red Team X de Meta a principios de septiembre de 2023. Se corrigió en la actualización de seguridad de Android de diciembre de 2023 sin proporcionar detalles que pudieran ser utilizados por un atacante para identificar y aprovechar la falla.
La raíz del problema radica en la insegura firma de los módulos APEX utilizando claves de prueba, lo que abre la puerta a que los atacantes envíen actualizaciones maliciosas a los componentes de la plataforma, resultando en una elevación de privilegios a nivel local.
Aunque esta vulnerabilidad no puede ser explotada de forma remota, pone de manifiesto deficiencias en la documentación de la Compatibility Test Suite (CTS) y el Android Open Source Project (AOSP), que Google tiene previsto abordar en la próxima versión de Android 15.
Los dispositivos que han recibido el parche de seguridad con fecha 2023-12-05 están protegidos contra CVE-2023-45779.
Te podrá interesar leer: ¿Qué es un Ataque de Exploit?
Tom Hebb de Meta ha publicado un artículo que explica que el problema radica en la firma de los módulos APEX mediante el uso de claves de prueba disponibles públicamente del Android Open Source Project (AOSP).
Los módulos APEX permiten a los fabricantes de equipos originales (OEM) enviar actualizaciones a componentes específicos del sistema sin necesidad de emitir una actualización inalámbrica (OTA) completa, lo que agiliza y facilita la prueba y entrega de los paquetes de actualización a los usuarios finales.
Estos módulos deben ser firmados con una clave privada conocida solo por el OEM, creada durante el proceso de construcción. Sin embargo, el uso de la misma clave pública que se encuentra en el árbol de compilación del código fuente de Android significa que cualquiera podría falsificar actualizaciones de componentes críticos del sistema.
Estas actualizaciones maliciosas podrían proporcionar a los atacantes privilegios elevados en el dispositivo, eludiendo los mecanismos de seguridad existentes y comprometiendo completamente el sistema.
El CVE-2023-45779 afecta a varios fabricantes de equipos originales, entre ellos ASUS (comprobado en Zenfone 9), Microsoft (Surface Duo 2), Nokia (G50), Nothing (Phone 2), VIVO (X90 Pro), Lenovo (Tab M10 Plus) y Fairphone (5).
Es importante destacar que los modelos mencionados anteriormente son solo ejemplos de los dispositivos que se sometieron a pruebas. Es probable que varios modelos, si no todos, de estos siete OEM sean vulnerables al CVE-2023-45779. El boletín de Fairphone sobre este tema confirma esta situación.
Tom Hebb señala que la razón por la que varios OEM no detectaron este problema de seguridad es multifacética, incluyendo configuraciones predeterminadas inseguras en AOSP, documentación insuficiente y una cobertura insuficiente por parte del Compatibility Test Suite (CTS), que no pudo identificar el uso de claves de prueba en las firmas APEX.
Los fabricantes de equipos originales cuyos modelos de dispositivos fueron probados por los analistas de Meta y se confirmó que no eran vulnerables al CVE-2023-45779 debido al uso de claves privadas incluyen a Google (Pixel), Samsung (Galaxy S23), Xiaomi (Redmi Note 12), OPPO (Find X6 Pro), Sony (Xperia 1 V), Motorola (Razr 40 Ultra) y OnePlus (10T).
Conoce más sobre: Riesgos de Seguridad en Android Económicos
Investigadores han liberado un exploit para CVE-2023-45779 en GitHub, poniéndolo a disposición del público en general. Sin embargo, esto no implica necesariamente que los usuarios que aún no han recibido una solución deban estar altamente preocupados.
En circunstancias normales, esta vulnerabilidad requeriría acceso físico al dispositivo objetivo y cierto grado de conocimiento para utilizar 'adb shell' a fin de explotarla. En consecuencia, la prueba de concepto tiene principalmente el propósito de investigación y validación de medidas de mitigación.
No obstante, como hemos presenciado en múltiples ocasiones, siempre existe la posibilidad de que el exploit sea empleado como parte de una cadena de exploits para aumentar los privilegios en un dispositivo que ya ha sido comprometido.
Si tu dispositivo Android opera con una versión anterior al nivel de parche de seguridad de Android del 5 de diciembre de 2023, sería aconsejable considerar la posibilidad de cambiar a una distribución con soporte activo o de actualizar a un modelo más reciente.
Te podrá interesar: ¿Tu software está al día?: Importancia de los Parches
El exploit para Android que afecta a 7 fabricantes es un ejemplo de cómo una vulnerabilidad puede poner en riesgo la seguridad y la privacidad de los usuarios de dispositivos móviles. Por eso, es importante mantener el dispositivo actualizado y seguir unas buenas prácticas de seguridad para evitar ser víctima de este tipo de ataques.