Lo que necesitas saber
- Google encontró una falla de seguridad en Android que permitía la ejecución remota de código, que describió como una "vulnerabilidad de seguridad crítica".
- La vulnerabilidad es lo que se conoce como falla de "clic cero", lo que significa que no requiere interacción para ser explotada.
- Google está proporcionando a los OEM una solución a través del Proyecto de código abierto de Android, pero dependerá de cada fabricante de teléfonos enviar actualizaciones a sus teléfonos inteligentes.
Google descubrió una "vulnerabilidad de seguridad crítica" en Android que hace posible que un hacker remoto ejecute código en su teléfono, dijo en diciembre. Boletín de seguridad de Android. La compañía ya ha proporcionado una solución a los fabricantes de teléfonos Android, pero cada OEM tendrá que enviar su propia actualización para corregir la falla de seguridad.
El error ha sido asignado. CVE-2023-40088 en el Base de datos nacional de vulnerabilidad, que proporciona más información. Según el informe NVD, el problema surge cuando el teléfono Android intenta ejecutar un
callback_thread_event de com_android_bluetooth_btservice_AdapterService.cpp. Durante esta acción, es posible que la memoria se corrompa con una vulnerabilidad de uso después de liberarlo.Básicamente, este problema hace que los teléfonos Android accedan com_android_bluetooth_btservice_AdapterService.cpp sin autorización después de que la memoria del sistema ya haya sido desasignada. Esto podría permitir que un pirata informático remoto acceda a una teléfono Android, ejecutando código sin necesidad de ninguna acción por parte del usuario.
Si bien esta falla se puede ejecutar de forma remota, vale la pena señalar que un posible atacante debe estar relativamente cerca de usted para que funcione. Se puede explotar a través de una conexión inalámbrica Wi-Fi, Bluetooth o NFC.
Google ha enviado una solución para las versiones de Android 11, 12, 12L, 13 y la última Androide 14 a través de Proyecto de código abierto de Android. Presumiblemente, esto significa que los teléfonos Android con esas versiones se ven afectados por el error. Dado que este problema permite la ejecución remota de código sin necesidad de interacción del usuario, es uno de los tipos de vulnerabilidades de seguridad más graves.
Ni Google ni el NVD especifican si el error ha sido explotado activamente en la naturaleza. Normalmente, esto se indicaría en caso de que se hubiera aprovechado un fallo de seguridad, pero no lo sabemos con certeza. Google no agregó más contexto para la vulnerabilidad, lo cual era de esperar. Es probable que la compañía no proporcione más información hasta que se haya solucionado el problema y se hayan actualizado la mayoría de los dispositivos activos.
Sin embargo, dado que el parche se lanzará a través de AOSP, no verá una actualización de inmediato. La actualización se enviará en los próximos días, pero cada OEM de Android debe enviar la solución después de eso. Los teléfonos Pixel podrían ser los primeros en recibir el parche, pero los plazos pueden variar para otras marcas.
Teniendo en cuenta la gravedad de este problema, esté atento a una actualización de seguridad este mes si utiliza un teléfono inteligente Android.