En su actualización de seguridad de abril de Android Google ha resuelto 62 vulnerabilidades en total, de las cuales dos eran zero-day y estaban siendo explotadas en ataques dirigidos por los piratas informáticos.
La empresa de Mountain View es consciente de que los cibermalos podrían seguir usando estos bugs para comprometer dispositivos con la plataforma del robot en situaciones reales.
La primera de ellas, CVE-2024-53197, es un problema de kernel de Linux que afecta al audio USB de ALSA. Los dispositivos maliciosos podrían explotar un valor de configuración para activar un acceso a la memoria fuera de los límites permitidos, según destaca el medio Security Affairs.
Este problema fue identificado por la ONG Amnistía Internacional en colaboración con Benoit Sevens, del grupo de Análisis de Amenazas de Google.
En febrero la organización aseguró haber descubierto que Cellebrite, una firma que vende dispositivos a las fuerzas del orden para desbloquear y analizar teléfonos de manera forense estaba aprovechando una cadena de tres vulnerabilidades zero-day para hackear teléfonos Android.
En cuanto a la segunda vulnerabilidad de día cero, CVE-2024-53150, una corrección del kernel de Linux solucionaría una falla de audio USB de ALSA donde longitudes de descriptor no válidas podían causar lecturas fuera de los límites al detectar fuentes de reloj.
Amnistía descubrió que los bugs se estaban usando contra un estudiante activista serbio por autoridades locales equipadas con Cellebrite.
Google ha lanzado parches para corregir las fallas, aunque también ha señalado que los socios de Android son "notificados de todos los problemas al menos un mes antes de la publicación". Así, pues, dada la naturaleza de código abierto de Android, cada fabricante de teléfonos ahora debe enviar parches a sus propios usuarios, según se hace eco TechCrunch.
Antiguas vulnerabilidades de día cero
La empresa de la gran G ha solventado problemas de seguridad de este tipo en el pasado. En febrero lanzó también actualizaciones de seguridad para abordar 48 vulnerabilidades, incluyendo una falla de día cero, identificada como CVE-2024-53104, que se explotó activamente en ataques en la naturaleza.
Además, en noviembre del año pasado la compañía fundada por Sergey Brinn y Larry Page solucionó dos vulnerabilidades de día cero de Android, identificadas como CVE-2024-43047 y CVE-2024-43093 que se explotaron activamente.