Según una publicación de blog de Google Project Zero (a través de TechCrunch), un proveedor comercial de vigilancia estaba explotando un trío de vulnerabilidades de día cero en algunos teléfonos Samsung Galaxy más nuevos. Estas empresas pueden ser empresas de telecomunicaciones o tecnología que rastrean a sus clientes con el fin de monetizar los datos personales mediante el envío de publicidad personalizada. O podría ser más siniestro (más sobre esto a continuación).
Ciertos teléfonos Samsung Galaxy que usaban el conjunto de chips Exynos de cosecha propia tenían estas vulnerabilidades
Según el Federal Comisión de Comercio, dichas empresas participan en la”recopilación, agregación, análisis, retención, transferencia o monetización de datos de consumidores y los derivados directos de esa información”. Y además de perjudicar a los consumidores con estas acciones, la FTC busca recopilar información que demuestre que estas acciones provocan daños psicológicos, daños a la reputación e intrusiones no deseadas que se producen con la recopilación de estos datos personales.
Uno de los teléfonos explotados fue el Samsung Galaxy S10
Pero esta situación en concreto podría ser más grave. Si bien Google no nombró a un proveedor de vigilancia comercial específico, sí dijo que el patrón se asemeja a una explotación anterior que entregó”poderoso spyware de estado-nación”a través de una aplicación maliciosa de Android. Las vulnerabilidades encontradas en el software personalizado de Samsung formaban parte de una cadena de explotación que permitiría al atacante obtener privilegios de lectura y escritura del kernel que eventualmente podrían revelar datos personales en el teléfono.
La explotación apunta a los teléfonos Samsung Galaxy alimentados por un Exynos SoC usando el núcleo 4.14.113. Los teléfonos que coinciden con esa descripción incluyen el Samsung Galaxy S10, Galaxy A50 y Galaxy A51. Las versiones de esos teléfonos que se venden en los EE. UU. y China están equipadas con un chipset Qualcomm Snapdragon, mientras que en la mayoría de los demás continentes, como Europa y África, se usa el SoC Exynos. Google dice que el exploit”se basa tanto en el controlador Mali GPU como en el controlador DPU, que son específicos de los teléfonos Exynos Samsung”. Los problemas comenzarían cuando se engañara a un usuario para que descargara una aplicación en su teléfono. La carga lateral en este caso significa descargar una aplicación de una tienda de aplicaciones de Android de terceros que no es Google Play Store. Google informó a Samsung sobre las vulnerabilidades en 2020 y, aunque Sammy envió un parche en marzo de 2021, la empresa no mencionó que las vulnerabilidades se estaban explotando activamente.
Maddie Stone de Google, quien escribió la publicación del blog, dice:”El análisis de esta cadena de explotación nos ha brindado información nueva e importante sobre cómo los atacantes se dirigen a los dispositivos Android. Stone también señaló que con más investigación, se podrían descubrir nuevas vulnerabilidades en el software personalizado utilizado en dispositivos Android por fabricantes de teléfonos como Samsung. Stone agregó:”Destaca la necesidad de más investigación sobre los componentes específicos del fabricante. Muestra dónde debemos realizar más análisis de variantes”.
Utilice la sección de comentarios en Play Store o en una tienda de aplicaciones Android de terceros para buscar señales de alerta
En el futuro, Samsung acordó revelar cuándo sus vulnerabilidades están siendo explotadas activamente uniéndose a Apple y Google. Los dos últimos fabricantes ya alertan a los usuarios cuando tal evento está ocurriendo. En junio, le informamos sobre el software espía llamado Hermit. que fue utilizado por los gobiernos en víctimas en Italia y Kazajstán. Similar al problema de seguridad encontrado en los tres teléfonos Galaxy con tecnología Exynos, Hermit requirió que un usuario descargara una aplicación maliciosa. Eventualmente, este malware robaría los contactos, datos de ubicación, fotos, videos y grabaciones de audio del teléfono de la víctima. Aparecen banderas, huye rápidamente de la lista de esa aplicación y nunca mirar hacia atrás. Otro gran consejo es no descargar ninguna aplicación. Sí, las aplicaciones con software malicioso de alguna manera superan la seguridad de Google Play demasiadas veces, pero es probable que aún sea menos probable que te”infectes”si te limitas a cargar aplicaciones desde Play Store.
