Agencias, Ciudad de México.- Google ha solucionado un error de seguridad que ponía en riesgo una serie de dispositivos con sistema Android, en tanto que facilitaba que los actores maliciosos falsificaran una actualización del sistema para obtener el control de esos equipos.
La firma de ciberseguridad Meta Red Team X identificó en septiembre del año pasado una vulnerabilidad que afectaba a los módulos APEX, que permiten a los fabricantes actualizar partes concretas del sistema sin tener que lanzar una actualización completa.
The technical write-up for CVE-2023-45779 has been published by Tom Hebb of Meta's Red Team X, revealing that several Android OEMs such as ASUS, Fairphone, Lenovo, Microsoft, Nokia, Nothing, and Vivo, were signing some of their APEX modules with the test keys publicly available… https://t.co/E0NauPEPyH pic.twitter.com/IzvtQ2x9Bw
— Mishaal Rahman (@MishaalRahman) January 30, 2024
En este caso, se debe a que algunos fabricantes firmaron los módulos APEX con claves privadas procedentes del repositorio Android Open Source Project (AOSP), lo que permitió que cualquiera pudiera falsificar una actualización e instalar ‘malware’ en los dispositivos con el objetivo de controlarlos, como explican Meta Red Team X en su blog.
Google corrigió esta vulnerabilidad, que se ha registrado como CVE-2023-45779, con el nivel de parche de seguridad 2023-12-05, lo que ha permitido que los fabricantes pudieran actualizar sus equipos afectados desde mediados de diciembre.
Aunque entre los afectados hay marcas de primer nivel, no todos los modelos de ‘smartphones’ y tabletas presentaban la vulnerabilidad. La lista detallada por Meta Red Team X recoge que los equipos vulnerables eran Asus Zenfone 9, vivo X90 Pro, Nokia G50, Microsoft Surface Duo 2, Lenovo Tab M10 Plus (Gen 3, Wi-Fi), Nothing Phone 2 y Fairphone 5.
#exploit
1 CVE-2023-45779:
Android APEX key reuse vulnerabilityhttps://t.co/ByoWuH9tiZ2 CVE-2023-6036:
WordPress Web3 – Crypto wallet Login & NFT token gating < 3.0.0 – Authentication Bypasshttps://t.co/WaQne35NUB3 CVE-2023-40459:
DoS on ACEmanagerhttps://t.co/9ywBAsEDzs— The Hack Force (@TheHackForce) February 2, 2024
