Publicado el 18 de marzo de 2016
Los avisos de seguridad de Android son complementarios de los boletines de seguridad de Nexus. Consulte nuestra página de resumen para obtener más información sobre los avisos de seguridad.
Resumen
Google se ha dado cuenta de una aplicación de rooteo que utiliza una vulnerabilidad de elevación de privilegios local sin parches en el kernel de algunos dispositivos Android ( CVE-2015-1805 ). Para que esta aplicación afecte a un dispositivo, el usuario primero debe instalarla. Google ya bloquea la instalación de aplicaciones de rooteo que utilizan esta vulnerabilidad (tanto dentro como fuera de Google Play) mediante Verify Apps y ha actualizado nuestros sistemas para detectar aplicaciones que utilizan esta vulnerabilidad específica.
Para proporcionar una última capa de defensa para este problema, los socios recibieron un parche para este problema el 16 de marzo de 2016. Se están creando actualizaciones de Nexus que se lanzarán dentro de unos días. Se han publicado parches de código fuente para este problema en el repositorio del Proyecto de código abierto de Android (AOSP).
Fondo
Este es un problema conocido en el kernel de Linux ascendente que se solucionó en abril de 2014, pero no se mencionó como solución de seguridad y se le asignó CVE-2015-1805 hasta el 2 de febrero de 2015. El 19 de febrero de 2016, el equipo C0RE notificó a Google que El problema podría explotarse en Android y se desarrolló un parche para incluirlo en una próxima actualización mensual programada periódicamente.
El 15 de marzo de 2016, Google recibió un informe de Zimperium de que se había abusado de esta vulnerabilidad en un dispositivo Nexus 5. Google ha confirmado la existencia de una aplicación de rooteo disponible públicamente que aprovecha esta vulnerabilidad en Nexus 5 y Nexus 6 para proporcionar al usuario del dispositivo privilegios de root.
Este problema se clasifica como de gravedad crítica debido a la posibilidad de una escalada de privilegios local y la ejecución de código arbitrario que conduzca a un compromiso permanente del dispositivo local.
Alcance
Este aviso se aplica a todos los dispositivos Android sin parches con las versiones del kernel 3.4, 3.10 y 3.14, incluidos todos los dispositivos Nexus. Los dispositivos Android que utilizan la versión 3.18 o superior del kernel de Linux no son vulnerables.
Mitigaciones
Las siguientes son mitigaciones que reducen la probabilidad de que los usuarios se vean afectados por este problema:
- Verify Apps se ha actualizado para bloquear la instalación de aplicaciones que, según hemos sabido, intentan aprovechar esta vulnerabilidad tanto dentro como fuera de Google Play.
- Google Play no permite aplicaciones de rooteo, como la que busca explotar este problema.
- Los dispositivos Android que utilizan la versión 3.18 o superior del kernel de Linux no son vulnerables.
Agradecimientos
Android desea agradecer al equipo C0RE y a Zimperium por sus contribuciones a este aviso.
Acciones sugeridas
Android anima a todos los usuarios a aceptar actualizaciones en sus dispositivos cuando estén disponibles.
Correcciones
Google ha publicado una solución en el repositorio de AOSP para múltiples versiones del kernel. Se ha notificado a los socios de Android sobre estas correcciones y se les anima a aplicarlas. Si se requieren más actualizaciones, Android las publicará directamente en AOSP.
| Versión del núcleo | Parche |
|---|---|
| 3.4 | Parche AOSP |
| 3.10 | Parche AOSP |
| 3.14 | Parche AOSP |
| 3.18+ | Parcheado en el kernel público de Linux |
Preguntas y respuestas comunes
1. ¿Cuál es el problema?
Una vulnerabilidad de elevación de privilegios en el kernel podría permitir que una aplicación maliciosa local ejecute código arbitrario en el kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se comprometa permanentemente el dispositivo local y es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo.
2. ¿Cómo intentaría un atacante aprovechar este problema?
Los usuarios que instalan una aplicación que busca explotar este problema están en riesgo. Las aplicaciones de rooteo (como la que explota este problema) están prohibidas en Google Play y Google está bloqueando la instalación de esta aplicación fuera de Google Play a través de Verify Apps. Un atacante tendría que convencer a un usuario para que instale manualmente una aplicación afectada.
3. ¿Qué dispositivos podrían verse afectados?
Google ha confirmado que este exploit funciona en Nexus 5 y 6; sin embargo, todas las versiones de Android sin parches contienen la vulnerabilidad.
4. ¿Google ha visto evidencia de que se está abusando de esta vulnerabilidad?
Sí, Google ha visto evidencia de que se está abusando de esta vulnerabilidad en un Nexus 5 utilizando una herramienta de rooteo disponible públicamente. Google no ha observado ninguna explotación que pueda calificarse de "maliciosa".
5. ¿Cómo abordará este tema?
Google Play prohíbe las aplicaciones que intentan aprovechar este problema. De manera similar, Verify Apps bloquea la instalación de aplicaciones fuera de Google Play que intentan aprovechar este problema. Los dispositivos Google Nexus también recibirán parches tan pronto como esté lista una actualización y hemos notificado a los socios de Android para que puedan publicar actualizaciones similares.
6. ¿Cómo sé si tengo un dispositivo que contiene una solución para este problema?
Android ha brindado dos opciones a nuestros socios para comunicar que sus dispositivos no son vulnerables a este problema. Los dispositivos Android con un nivel de parche de seguridad del 18 de marzo de 2016 no son vulnerables. Los dispositivos Android con un nivel de parche de seguridad del 2 de abril de 2016 y posteriores no son vulnerables a este problema. Consulte este artículo para obtener instrucciones sobre cómo verificar el nivel del parche de seguridad.
Revisiones
- 18 de marzo de 2016: Aviso publicado.