Según una entrada de blog de Proyecto cero de Google (mediante TechCrunch), un proveedor de vigilancia comercial ha aprovechado un trío de vulnerabilidades de día cero en algunos teléfonos Samsung Galaxy más nuevos. Estas empresas pueden ser empresas de telecomunicaciones o de tecnología que realizan un seguimiento de sus clientes con el fin de monetizar los datos personales mediante el envío de publicidad personalizada. O podría ser más siniestro (más sobre eso más adelante).
Algunos teléfonos Samsung Galaxy que usaban nuestro propio chipset Exynos tenían estas vulnerabilidades
De acuerdo a Comisión Federal de Comercio, estas empresas se dedican a la “recopilación, agregación, análisis, almacenamiento, transferencia o monetización de datos de consumidores y derivados directos de dicha información”. Y además de perjudicar a los consumidores con estas acciones, la FTC busca recopilar información que demuestre que estas acciones provocan daños psicológicos, daños a la reputación e intrusiones no deseadas que ocurren con la recopilación de estos datos personales.
Uno de los teléfonos explotados fue el Samsung Galaxy S10
Pero esta situación específica podría ser más grave. Si bien Google no ha nombrado a un proveedor de vigilancia comercial específico, dijo que el modelo recuerda a una explotación anterior que entregó “poderoso spyware estatal nacional” a través de una aplicación maliciosa de Android. Las vulnerabilidades encontradas en el software personalizado de Samsung eran parte de una cadena de exploits que permitirían al atacante obtener privilegios de lectura y escritura del kernel que eventualmente podrían revelar datos personales en el teléfono.
El exploit se dirige a los teléfonos Samsung Galaxy con un SoC Exynos que utiliza el kernel 4.14.113. Los teléfonos que coinciden con esta descripción incluyen Samsung Galaxy S10, Galaxy A50 y Galaxy A51. Las versiones de estos teléfonos que se venden en los EE. UU. y China están equipadas con un chipset Qualcomm Snapdragon, mientras que el Exynos SoC se usa en la mayoría de los demás continentes, como Europa y África. Google dice que el exploit “se basa tanto en el controlador de GPU de Mali como en el controlador de DPU, que son específicos de los teléfonos Samsung Exynos”. La carga lateral en este caso significa descargar una aplicación de una tienda de aplicaciones de Android de terceros que no es Google Play Store. Google informó las vulnerabilidades a Samsung en 2020 y, aunque Sammy envió un parche en marzo de 2021, la empresa no mencionó que las vulnerabilidades se estaban explotando activamente.
Maddie Stone de Google, quien escribió la publicación del blog, dice: “El análisis de esta cadena de explotación nos ha brindado información nueva e importante sobre cómo los atacantes se dirigen a los dispositivos Android. Stone también señaló que con más investigación, se podrían descubrir nuevas vulnerabilidades en el software personalizado utilizado”. en dispositivos Android por fabricantes de teléfonos como Samsung. Stone agregó: “Destaca la necesidad de una mayor investigación sobre los componentes específicos del fabricante”. Muestra dónde debemos hacer más análisis de variantes”.
Use la sección de comentarios en Play Store o en una tienda de aplicaciones de Android de terceros para buscar las señales de alerta.
En el futuro, Samsung acordó revelar cuándo sus vulnerabilidades están siendo explotadas activamente al unirse a Apple y Google. Estos dos últimos fabricantes ya notifican a los usuarios cuando se produce un evento de este tipo. En junio le contamos sobre un software espía llamado Hermit que ha sido utilizado por los gobiernos en víctimas específicas en Italia y Kazajstán. Similar al problema de seguridad encontrado en los tres teléfonos Galaxy con tecnología Exynos, Hermit requería que el usuario cargara una aplicación maliciosa. Eventualmente, este malware robaría los contactos, datos de ubicación, fotos, videos y grabaciones de audio del teléfono de la víctima. Una regla general rápida y sucia que aún podría funcionar en estos días es echar un buen vistazo a la sección de comentarios antes de instalar una aplicación de un desarrollador del que nunca antes había oído hablar. Si aparecen banderas rojas, escape rápidamente de la lista de esa aplicación y nunca mire hacia atrás. Otro gran consejo es no descargar ninguna aplicación. Sí, las aplicaciones relacionadas con malware de alguna manera eluden la seguridad de Google Play demasiadas veces, pero es probable que sea aún menos probable que se “infecte” si continúa cargando aplicaciones desde Play Store.