Publicado el 18 de marzo de 2016
Los avisos de seguridad de Android son complementarios a los boletines de seguridad de Nexus. Consulta nuestra página de resumen para obtener más información sobre las Asesorías de seguridad.
Resumen
Google detectó una aplicación de acceso raíz que usa una vulnerabilidad de elevación de privilegios local sin parches en el kernel de algunos dispositivos Android (CVE-2015-1805). Para que esta aplicación afecte a un dispositivo, el usuario primero debe instalarla. Google ya bloquea la instalación de aplicaciones de acceso raíz que usan esta vulnerabilidad, tanto dentro de Google Play como fuera de él, con Verificar apps, y actualizó sus sistemas para detectar aplicaciones que usen esta vulnerabilidad específica.
Para proporcionar una capa de defensa final para este problema, los socios recibieron un parche el 16 de marzo de 2016. Se están creando las actualizaciones de Nexus, que se lanzarán en unos días. Los parches de código fuente para este problema se lanzaron en el repositorio del Proyecto de código abierto de Android (AOSP).
Información general
Este es un problema conocido en el kernel de Linux upstream que se corrigió en abril de 2014, pero no se identificó como una corrección de seguridad ni se le asignó el CVE-2015-1805 hasta el 2 de febrero de 2015. El 19 de febrero de 2016, el equipo de C0RE notificó a Google que el problema se podía aprovechar en Android y se desarrolló un parche para incluirlo en una próxima actualización mensual programada.
El 15 de marzo de 2016, Google recibió un informe de Zimperium en el que se indicaba que se había abusado de esta vulnerabilidad en un dispositivo Nexus 5. Google confirmó la existencia de una aplicación de acceso raíz disponible públicamente que abusa de esta vulnerabilidad en Nexus 5 y Nexus 6 para proporcionarle al usuario del dispositivo privilegios de administrador.
Este problema se clasifica como un problema de gravedad crítica debido a la posibilidad de una elevación de privilegios local y una ejecución de código arbitraria que podría provocar un compromiso permanente del dispositivo local.
Alcance
Este aviso se aplica a todos los dispositivos Android sin parches con las versiones de kernel 3.4, 3.10 y 3.14, incluidos todos los dispositivos Nexus. Los dispositivos Android que usan el kernel de Linux 3.18 o versiones posteriores no son vulnerables.
Mitigaciones
Las siguientes son mitigaciones que reducen la probabilidad de que los usuarios se vean afectados por este problema:
- Se actualizó la función Verificar apps para bloquear la instalación de aplicaciones que, según descubrimos, intentan aprovecharse de esta vulnerabilidad dentro y fuera de Google Play.
- Google Play no permite aplicaciones de acceso raíz, como la que intenta aprovechar este problema.
- Los dispositivos Android que usan la versión 3.18 del kernel de Linux o una posterior no son vulnerables.
Agradecimientos
Android agradece al equipo de C0RE y a Zimperium por sus contribuciones a este aviso.
Acciones sugeridas
Android recomienda a todos los usuarios que acepten las actualizaciones de sus dispositivos cuando estén disponibles.
Correcciones
Google lanzó una corrección en el repositorio de AOSP para varias versiones del kernel. Se notificó a los socios de Android sobre estas correcciones y se les recomendó que las apliquen. Si se requieren más actualizaciones, Android las publicará directamente en AOSP.
| Versión de kernel | Parche |
|---|---|
| 3.4 | Parche de AOSP |
| 3.10 | Parche de AOSP |
| 3.14 | Parche de AOSP |
| 3.18 o posterior | Se aplicaron parches en el kernel de Linux público |
Preguntas y respuestas frecuentes
1. ¿Cuál es el problema?
Una vulnerabilidad de elevación de privilegios en el kernel podría permitir que una aplicación maliciosa local ejecute código arbitrario en el kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se produzca una vulneración permanente del dispositivo local, y es posible que se deba reparar el dispositivo volviendo a escribir el sistema operativo.
2. ¿Cómo intentaría un atacante aprovecharse de este problema?
Los usuarios que instalan una aplicación que busca aprovecharse de este problema están en riesgo. Las aplicaciones de acceso a la raíz (como la que aprovecha este problema) están prohibidas en Google Play, y Google bloquea la instalación de esta aplicación fuera de Google Play a través de Verify Apps. Un atacante tendría que convencer a un usuario para que instale manualmente una aplicación afectada.
3. ¿Qué dispositivos podrían verse afectados?
Google confirmó que este exploit funciona en Nexus 5 y 6. Sin embargo, todas las versiones de Android sin parches contienen la vulnerabilidad.
4. ¿Google tiene evidencia de que se haya abusado de esta vulnerabilidad?
Sí, Google encontró evidencia de que se abusó de esta vulnerabilidad en un Nexus 5 con una herramienta de acceso raíz disponible públicamente. Google no observó ningún uso que se clasificara como "malicioso".
5. ¿Cómo abordarás este problema?
Google Play prohíbe las apps que intentan aprovecharse de este problema. Del mismo modo, Verifica apps bloquea la instalación de apps que no provienen de Google Play y que intentan aprovecharse de este problema. Los dispositivos Google Nexus también recibirán parches en cuanto haya una actualización lista, y notificamos a los socios de Android para que puedan lanzar actualizaciones similares.
6. ¿Cómo puedo saber si tengo un dispositivo que contiene una solución para este problema?
Android proporcionó dos opciones a nuestros socios para comunicar que sus dispositivos no son vulnerables a este problema. Los dispositivos Android con un nivel de parche de seguridad del 18 de marzo de 2016 no son vulnerables. Los dispositivos Android con un nivel de parche de seguridad del 2 de abril de 2016 o versiones posteriores no son vulnerables a este problema. Consulta este artículo para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad.
Revisiones
- 18 de marzo de 2016: Se publicó el aviso.