Vulnerabilidad crítica en Qualcomm deja vulnerable millones de Android

Google ha parcheado una vulnerabilidad crítica que ha existido durante los últimos cinco años y ha dejado potencialmente "abiertos" cualquier mensaje de texto, el histórico de llamadas y otros datos sensibles del usuario.

De acuerdo a FireEye, la vulnerabilidad identificada como CVE-2016-2060, afecta a todas las versiones de Android 4.3 y anteriores aunque también ha sido confirmado en dispositivos que ejecutan Android 5.0 Lollipop y Android 4.4 KitKat.

La falla afecta a cientos de modelos Android fabricados en los últimos cinco años y que utilizan los chips de Qualcomm. En 2011 la empresa lanzó un conjunto de nuevas APIs para el servicio de Android Open Source Project (AOSP). Qualcomm había modificado "netd" para proporcionar capacidades adicionales de red y de tethering (compartir dispositivos), entre otras cosas.

Lamentablemente, la modificación introdujo un error crítico en el sistema operativo y podría permitir privilegios para que ciertas apps puedan acceder a datos privados. Según los investigadores, los atacantes pueden aprovechar esta vulnerabilidad mediante acceso físico al smartphone desbloqueado o instalar una aplicación maliciosa a través de una campaña de phishing o una aplicación maliciosa descargada de Google Play Store.

Los investigadores dijeron que la vulnerabilidad es más grave en dispositivos que ejecutan Android 4.3 Jelly Bean porque es probable que sigan sin parche.

Sin embargo, los dispositivos más nuevos ejecutan Android con SEAndroid, una aplicación que mejora la seguridad en Linux, pero una aplicación maliciosa aún podría modificar algunas propiedades del sistema operativo.

La vulnerabilidad fue parcheada en la última actualización Android, lanzada el pasado 1 de mayo.

Fuente: The Hacker News