Según los investigadores de seguridad del equipo Project Zero de Google, millones de dispositivos Android están desprotegidos frente al CVE-2022-33917, un fallo que aún no ha sido corregido.
Cada CVE identifica un problema único. CVE-2022-33917 es un fallo en las GPU ARM Mali que afecta a los dispositivos Android. Es uno de los muchos CVE que afectan a los teléfonos Samsung Galaxy y Google Pixel.
Según Google, los atacantes pueden ser capaces de explotar la vulnerabilidad antes de que se solucione. Una aplicación maliciosa que pueda ejecutar código nativo puede obtener acceso completo al sistema y robar datos del usuario, saltándose el sistema de permisos de Android al forzar al kernel a reutilizar páginas físicas como tablas de páginas. Además, los atacantes podrían seguir leyendo y escribiendo páginas después de haberlas devuelto al sistema.
Google afirma que ARM corrigió las vulnerabilidades en julio y agosto de este año, y que fue informado rápidamente. Sin embargo, Google ha comprobado desde entonces que «todos nuestros dispositivos de prueba que utilizaban Mali seguían siendo susceptibles a estos problemas». CVE-2022-33917 es el número CVE asignado a este fallo. CVE-2022-36449, que no se mencionó en ningún aviso de seguridad posterior, significa que los dispositivos fabricados por Google, Samsung, Oppo y Xiaomi nunca han sido corregidos y siguen teniendo este fallo explotable.
Todos los teléfonos con una GPU Mali son vulnerables, pero los que utilizan un chip Qualcomm deben ser parcheados. Google está probando un parche que debería estar disponible «en las próximas semanas», aunque los fabricantes de teléfonos también lo necesitarán.
De acuerdo con Google, el parche de Arm en estos momentos se está probando para los dispositivos Android y Pixel y será repartido en las próximas semanas. Por otro lado, los OEMs de Android tendrán que instalar el parche ya que tienen que acatar las leyes requeridas por SPL. Google también ofrece consejos a los vendedores de Android que intentan prevenir incidentes similares en el futuro. Los vendedores, como los usuarios de Android, deben parchear sus vulnerabilidades de software tan pronto como estén disponibles.
Google recomienda que los proveedores y las empresas apliquen parches tan pronto como las actualizaciones de seguridad estén disponibles para los usuarios. Lo que se deseas es reducir la «brecha de parches» esto sería lo más indispensable, porque los usuarios cotidianos (u otras empresas posteriores) no tienen la capacidad de actualizar las nuevas mejoras, hasta finalizar un paso crucial. Las empresas deben supervisar las fuentes ascendentes, permanecer atentas y proporcionar parches completos a los consumidores tan pronto como sea posible.
Se desconoce si los atacantes han utilizado esta vulnerabilidad para robar información de ciertos dispositivos Android, pero sigue siendo un riesgo cuando llega la actualización. Si tu dispositivo es vulnerable cuando llegue la actualización, consíguela de inmediato. Puedes determinar si tu dispositivo es vulnerable mirando las especificaciones de tu teléfono en PhoneArena y viendo el fabricante de la GPU. Si tienes una unidad de procesamiento gráfico (GPU) ARM Mali, debes actuar de inmediato. Te mantendremos informado sobre esta historia a medida que sepamos más.
