Google solucionó silenciosamente una falla USB que dejó expuestos más de mil millones de dispositivos Android

Aranzulla de Los Pobres

En la primera semana de febrero, Google publicó su habitual Boletín de seguridad de Android, detallando las fallas de seguridad que se han solucionado para fortalecer la seguridad de la plataforma. Estos defectos suelen declararse una vez subsanados, salvo circunstancias especiales.

Febrero es una de esas raras situaciones en las que se produce una falla de alta gravedad a nivel del kernel que todavía estaba siendo explotada activamente en el momento de la publicación del boletín. "Hay indicios de que CVE-2024-53104 puede estar bajo explotación limitada y dirigida", dice la nota de la versión .

La falla fue reportada por primera vez por expertos de Amnistía Internacional , que la describen como una “escritura fuera de límites en el controlador USB Video Class (UVC)”. Los investigadores añaden que, dado que se trata de un exploit a nivel de kernel, afecta a más de mil millones de dispositivos Android, independientemente de la marca.

Dado que se trata de un exploit de día cero, sólo los atacantes saben de su existencia, a menos que los expertos en seguridad detecten su presencia, desarrollen una solución con el equipo de la plataforma y luego la publiquen ampliamente para todos los dispositivos afectados. Otras dos vulnerabilidades, CVE-2024-53197 y CVE-2024-50302, se han solucionado a nivel de kernel, pero Google no las ha parcheado completamente a nivel de sistema operativo.

El grupo de impacto es enorme

El conjunto de dispositivos afectados es el ecosistema Android, mientras que el vector de ataque es una interfaz USB. Específicamente, estamos hablando de exploits de día cero en los controladores USB del kernel de Linux, que permiten a un mal actor eludir la protección de la pantalla de bloqueo y obtener acceso privilegiado de nivel profundo a un teléfono a través de una conexión USB.

Dispositivo Cellebrite UFED.
Se utiliza un dispositivo Cellebrite que se utiliza para extraer datos de teléfonos inteligentes. celebrita

En este caso, se informó que se utilizó una herramienta ofrecida por Cellebrite para desbloquear el teléfono de un estudiante activista serbio y obtener acceso a los datos almacenados en él. Específicamente, funcionarios encargados de hacer cumplir la ley colocaron un kit Cellebrite UFED en el teléfono del estudiante activista, sin informarles al respecto ni obtener su consentimiento explícito.

Amnistía dice que el uso de una herramienta como Cellebrite, de la que se ha abusado para atacar a periodistas y activistas ampliamente, no fue sancionado legalmente. El teléfono en cuestión era un Samsung Galaxy A32, mientras que el dispositivo Cellebrite pudo superar la protección de la pantalla de bloqueo y obtener acceso de root.

"Los proveedores de Android deben fortalecer urgentemente las funciones de seguridad defensiva para mitigar las amenazas provenientes de conexiones USB no confiables a dispositivos bloqueados", dice el informe de Amnistía. Esta no será la primera vez que el nombre Cellebrite aparezca en las noticias.

La compañía vende sus herramientas de análisis forense a agencias federales y policiales en los EE. UU. y muchos otros países, permitiéndoles ingresar por la fuerza bruta en los dispositivos y extraer información crítica.

En 2019, Cellebrite afirmó que podía desbloquear cualquier dispositivo Android o Apple utilizando su dispositivo universal de extracción forense. Sin embargo, también ha generado preocupaciones éticas y alarmas de privacidad sobre el uso injusto por parte de las autoridades para la vigilancia, el acoso y el ataque a denunciantes, periodistas y activistas.

Hace unos meses, Apple también reforzó silenciosamente los protocolos de seguridad con la actualización iOS 18.1 , con la intención de bloquear el acceso no autorizado a teléfonos inteligentes bloqueados y evitar la filtración de información sensible.