Una vulnerabilidad de día cero consiste en un fallo de seguridad de software descubierto recientemente, por lo que no existe un parche para remediarlo, ya que los desarrolladores de software desconocen su existencia. Lo descubren únicamente después de que suceda el ataque, de modo que tienen cero días de advertencia encontrar una solución.
Pues bien, Google ha descubierto una bastante grave, pero lo está solucionando. Como parte de las últimas actualizaciones de seguridad de Android, Google ha difundido un parche para el error CVE-2021-1048, que "podría conducir a una escalada local de privilegios debido a un uso posterior a gratuito", como ha reconocido Google a través de su boletín de seguridad de noviembre.
Asimismo, Google ha reconocido que hay indicios de que la vulnerabilidad, considerada de día cero -es decir, que Google no tenía conocimiento de ella-, de su sistema operativo móvil puede haberse usado para una "explotación dirigida y limitada".
La compañía de ciberseguridad ESET ha analizado este fallo de seguridad y ha asegurado que "el hecho de que solo se haya detectado en ataques dirigidos y en pequeña cantidad no debería preocupar (de momento) a la mayoría de los usuarios de Android".
Los problemas de Android, un sistema demasiado fragmentado
Google también ha lanzado parches de seguridad que solucionan otras 38 vulnerabilidades, con cinco de ellas catalogadas como críticas y que permiten la ejecución remota de código. La más importante de estas vulnerabilidades que afectan al componente del sistema Android podría llegar a permitir que los atacantes ejecutasen código arbitrario en el contexto de un proceso con privilegios empleando una transmisión especialmente modificada.
Además, también se ha solucionado un fallo de seguridad en componente de Servicio remoto de Android TV que podría permitir la ejecución de código remoto. Esto permitiría a un atacante que estuviese cerca del dispositivo vulnerable conectarse al televisor para ejecutar código arbitrario sin necesidad de permisos especiales ni interacción por parte del usuario.
ESET ha denunciado que, a pesar de que Google publica este tipo de actualizaciones de seguridad cada mes, muchos de los usuarios de Android no podrán aplicarlos hasta más adelante.
A diferencias de los boletines de seguridad que se lanzan en otras plataformas como Windows, donde prácticamente todos los usuarios tienen la posibilidad de instalar las actualizaciones de seguridad tan pronto como son publicadas, el sistema Android se encuentra muy fragmentado y solo los usuarios de dispositivos fabricados por Google y algunos modelos de otros fabricantes pueden actualizarse rápidamente.
La mayoría de los usuarios depende de que el fabricante de su dispositivo prepare estas actualizaciones y las lance tiempo después (normalmente con meses de diferencia). Además, solamente los dispositivos más recientes suelen recibirlas, dejando a millones de usuarios con versiones vulnerables de Android.