Publicado el 18 de marzo de 2016
Los avisos de seguridad de Android son complementarios a los boletines de seguridad de Nexus. Consulte nuestra página de resumen para obtener más información sobre los avisos de seguridad.
Resumen
Google se ha dado cuenta de una aplicación de enraizamiento que utiliza una vulnerabilidad de elevación de privilegios local sin parches en el kernel de algunos dispositivos Android ( CVE-2015-1805 ). Para que esta aplicación afecte a un dispositivo, el usuario primero debe instalarla. Google ya bloquea la instalación de aplicaciones de enraizamiento que usan esta vulnerabilidad, tanto dentro como fuera de Google Play, usando Verify Apps , y ha actualizado nuestros sistemas para detectar aplicaciones que usan esta vulnerabilidad específica.
Para proporcionar una capa final de defensa para este problema, los socios recibieron un parche para este problema el 16 de marzo de 2016. Se están creando actualizaciones de Nexus y se publicarán dentro de unos días. Se han publicado parches de código fuente para este problema en el repositorio del Proyecto de código abierto de Android (AOSP).
Fondo
Este es un problema conocido en el kernel de Linux ascendente que se solucionó en abril de 2014, pero no se mencionó como una solución de seguridad y se le asignó CVE-2015-1805 hasta el 2 de febrero de 2015. El 19 de febrero de 2016, el equipo C0RE notificó a Google que el problema podría explotarse en Android y se desarrolló un parche para incluirlo en una próxima actualización mensual programada regularmente.
El 15 de marzo de 2016, Google recibió un informe de Zimperium de que se había abusado de esta vulnerabilidad en un dispositivo Nexus 5. Google ha confirmado la existencia de una aplicación de enraizamiento disponible públicamente que abusa de esta vulnerabilidad en Nexus 5 y Nexus 6 para proporcionar al usuario del dispositivo privilegios de enraizamiento.
Este problema se clasifica como un problema de gravedad crítica debido a la posibilidad de una escalada de privilegios locales y la ejecución de código arbitrario que da lugar a un compromiso local permanente del dispositivo.
Alcance
Este aviso se aplica a todos los dispositivos Android sin parches en las versiones de kernel 3.4, 3.10 y 3.14, incluidos todos los dispositivos Nexus. Los dispositivos Android que utilizan la versión 3.18 o superior del kernel de Linux no son vulnerables.
Mitigaciones
Las siguientes son mitigaciones que reducen la probabilidad de que los usuarios se vean afectados por este problema:
- Verificar aplicaciones se actualizó para bloquear la instalación de aplicaciones que, según hemos sabido, intentan aprovechar esta vulnerabilidad tanto dentro como fuera de Google Play.
- Google Play no permite rootear aplicaciones, como la que busca explotar este problema.
- Los dispositivos Android que utilizan la versión 3.18 o superior del kernel de Linux no son vulnerables.
Agradecimientos
Android quisiera agradecer al equipo C0RE y Zimperium por sus contribuciones a este aviso.
Acciones sugeridas
Android anima a todos los usuarios a aceptar las actualizaciones de sus dispositivos cuando estén disponibles.
Arreglos
Google ha publicado una corrección en el repositorio de AOSP para varias versiones del kernel. Los socios de Android han sido notificados de estas correcciones y se les anima a aplicarlas. Si se requieren más actualizaciones, Android las publicará directamente en AOSP.
Versión del núcleo | Parche |
---|---|
3.4 | parche AOSP |
3.10 | parche AOSP |
3.14 | parche AOSP |
3.18+ | Parchado en el kernel público de Linux |
Preguntas y respuestas comunes
1. ¿Cuál es el problema?
Una vulnerabilidad de elevación de privilegios en el kernel podría permitir que una aplicación local maliciosa ejecute código arbitrario en el kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo y el dispositivo posiblemente deba repararse volviendo a actualizar el sistema operativo.
2. ¿Cómo intentaría un atacante explotar este problema?
Los usuarios que instalan una aplicación que busca explotar este problema están en riesgo. Las aplicaciones de enraizamiento (como la que explota este problema) están prohibidas en Google Play y Google está bloqueando la instalación de esta aplicación fuera de Google Play a través de Verificar aplicaciones. Un atacante necesitaría convencer a un usuario para que instale manualmente una aplicación afectada.
3. ¿Qué dispositivos podrían verse afectados?
Google ha confirmado que este exploit funciona en Nexus 5 y 6; sin embargo, todas las versiones sin parches de Android contienen la vulnerabilidad.
4. ¿Google ha visto evidencia de que se está abusando de esta vulnerabilidad?
Sí, Google ha visto evidencia de que se está abusando de esta vulnerabilidad en un Nexus 5 usando una herramienta de enraizamiento disponible públicamente. Google no ha observado ninguna explotación que pueda clasificarse como “maliciosa”.
5. ¿Cómo abordará este problema?
Google Play prohíbe las aplicaciones que intentan aprovechar este problema. Del mismo modo, Verificar aplicaciones bloquea la instalación de aplicaciones externas a Google Play que intentan aprovechar este problema. Los dispositivos Google Nexus también se parchearán tan pronto como esté lista una actualización y les hayamos notificado a los socios de Android para que puedan lanzar actualizaciones similares.
6. ¿Cómo puedo saber si tengo un dispositivo que contiene una solución para este problema?
Android ha brindado dos opciones a nuestros socios para comunicarles que sus dispositivos no son vulnerables a este problema. Los dispositivos Android con un nivel de parche de seguridad del 18 de marzo de 2016 no son vulnerables. Los dispositivos Android con un nivel de parche de seguridad del 2 de abril de 2016 y posterior no son vulnerables a este problema. Consulte este artículo para obtener instrucciones sobre cómo verificar el nivel del parche de seguridad.
Revisiones
- 18 de marzo de 2016: Aviso publicado.