Descubren una grave vulnerabilidad que ha puesto en peligro a millones de móviles Android durante meses

Última actualización el 03/03/2020 a las 12:30

La actualización Android de seguridad correspondiente a marzo de 2020 liberada el primer lunes trajo consigo, entre otras muchas cosas, la solución a una de las vulnerabilidades más graves que haya afectado a la plataforma Android desde hace mucho tiempo.

Xiaomi Redmi Note 8 Pro

Así lo explican en el portal XDA, donde exponen el funcionamiento de este “rootkit” que habría puesto en peligro a millones de dispositivos con procesador MediaTek durante los últimos meses, y que según se sabe habría sido explotado activamente por atacantes con el objetivo de infectar los móviles de los usuarios.

Millones de móviles Android, en peligro por una vulnerabilidad en chips MediaTek

MediaTek Helio G90

Como explican en dicho portal, la vulnerabilidad fue descubierta casi por accidente por uno de los miembros de la comunidad de XDA al buscar una vía para obtener privilegios avanzados en el software de las tablets Amazon Fire.

Y es que después de diversas pruebas llevadas a cabo por otros miembros de la comunidad, se llegó a la conclusión de que este exploit, en un principio creado para ser utilizado en los dispositivos Fire de Amazon, también funcionaba en prácticamente todos los dispositivos con procesador MediaTek de 64 bits.

Son tantos los modelos de chip de la firma taiwanesa, que el exploit fue bautizado por sus creadores como “MediaTek-su”, dada su capacidad de obtener permisos de superusuario en los móviles basados en este tipo de plataformas.

A partir de ese momento, comenzaron a surgir scripts y herramientas basadas en este exploit que permitían obtener privilegios avanzados en dispositivos con chip MediaTek, incluyendo entre ellos la modificación del estado del módulo de seguridad de Linux –SELinux– a “permisivo”, lo cual permitiría todo acceso, incluyendo aquellos no autorizados, al software del dispositivo.

2019 será el año del malware según el último informe del conocido antivirus McAfee

En teoría, la amenaza habría puesto en peligro a básicamente la totalidad de los dispositivos con procesador MediaTek, exceptuando aquellos de firmas como Vivo, Huawei/Honor a partir de Android 8 y de Samsung, debido a que estas firmas modifican el kernel de sus terminales para intentar contener este tipo de exploits que otorgan permiso de superusuario.

No obstante, explican que con un poco más de esfuerzo se podría haber desarrollado un exploit específico para este tipo de terminales.

Pero, ¿por qué se trata de una vulnerabilidad tan grave? Para entenderlo, hay que tener en cuenta que, por lo general, antes de obtener permiso root en un dispositivo Android es necesario desbloquear el gestor de arranque o bootloader, de modo que sea posible ejecutar los scripts e instalar los binarios necesarios para obtener estos permisos.

No obstante, utilizando el exploit MediaTek-su, ni siquiera sería necesario haber desbloqueado el gestor de arranque del dispositivo para obtener privilegios avanzados, lo cual abre una potencial vía de ataque, pues los atacantes solo necesitarían colocar el script en el móvil de la víctima y ejecutarlo para obtener acceso root de manera temporal –hasta que el usuario reinicia el dispositivo–.

A día de hoy, existen indicios que sugieren que varias aplicaciones se han estado aprovechando de esta vulnerabilidad a lo largo de los últimos meses, algunas de ellas disponibles en Google Play hasta hace no demasiado.

Apps que habrían abusado de la vulnerabilidad MediaTek-su

Según explican en XDA, la solución a esta vulnerabilidad está incluida junto a la actualización de seguridad Android correspondiente al mes de marzo, cuyo despliegue ya ha comenzado entre los modelos de la serie Pixel.

Lo más curioso, es que Google ha decidido no exponer los detalles sobre este grave problema de seguridad hasta ahora, a pesar de que MediaTek había dado con la solución hace cerca de diez meses.

Pero hay un problema más: dada la tendencia de los fabricantes de utilizar chips MediaTek en sus terminales más asequibles, es muy probable que un gran número de los dispositivos afectados no reciban el parche de seguridad que subsana esta vulnerabilidad hasta dentro de varios meses, si es que llegan a recibirlo en algún momento.

Mientras tanto, los poseedores de dispositivos basados en plataformas MediaTek que piensen que pueden estar afectados, pueden comprobarlo utilizando el script desarrollado por el miembro de XDA para obtener permisos avanzados en este tipo de terminales.

Si éste funciona, me temo que tu móvil está expuesto a ataques basados en este exploit hasta que reciba la correspondiente actualización de seguridad.