Una vulnerabilidad en los móviles Samsung permitía a una app sin permisos hacer todo tipo de maldades

Una vulnerabilidad en los móviles Samsung permitía a una app sin permisos hacer todo tipo de maldades
1 comentario

Los investigadores de seguridad de Kryptowire han informado de una vulnerabilidad que afecta a prácticamente todos los móviles Samsung modernos: aquellos con Android 10, Android 11 y Android 12, además de -con menor gravedad- a los que se mantienen con Android 9.

La vulnerabilidad ha sido acuñada como CVE-2022-22292 y ha sido clasificada como grave. Aprovechándola, una aplicación maliciosa podía formatear un móvil, instalar apps o desinstalar apps a su antojo y tareas similares con permisos de sistema. Samsung ya ha incluído el parche que lo solventa en la actualización de seguridad de febrero.

Permisos de sistema para cualquier app

Un pequeño descuido en una pequeña aplicación del sistema que viene preinstalada en los móviles Samsung es la causante de un problema de seguridad que puede ser grave, según la propia clasificación de la vulnerabilidad por parte de Samsung.

El componente en cuestión es com.samsung.server.telecom, la versión personalizada por Samsung de com.android.server.telecom, que forma parte de AOSP y no está afectada por la vulnerabilidad. Este componente se encarga de gestionar las llamadas en Android y tenía un fallo de diseño por el cual aplicaciones de terceras partes podían aprovecharla para iniciar actividades de otras aplicaciones con permisos del sistema.

Concretamente, esta aplicación preinstalada de Samsung incluía un intent con que podía generar otro intent de vuelta, manteniendo los permisos de sistema. Los intents son un modo que tienen las aplicaciones Android de pasar datos entre sus distintas activities, así como con el sistema o con otras aplicaciones. Al poder usar este componente de Samsung para ejecutar intents con permisos de sistema, una aplicación maliciosa podía llevar a cabo varias tareas delicadas sin intervención del usuario.

Aprovechando un error de diseño, una app maliciosa podría resetear un móvil, instalar o desinstalar apps e instalar certificados sin intervención del usuario

Según Kryptowire, las posibilidades van desde realizar un reseteo de fábrica, instalar o desinstalar aplicaciones, llamara a número de teléfono o instalar certificados. El código necesario para llevar a cabo muchas de estas tareas apenas supera las cinco líneas. El error afecta a los móviles Samsung con Android 10 o superior y, en menor medida a aquellos que tienen Android 9

La buena noticia es que no hay noticias de que nadie esté aprovechando este error y que la solución ya está incluída en el parche de seguridad de febrero, de modo que nunca está de más comprobar si tienes la última actualización instalada. En caso de que no sea así, con no instalar aplicaciones sospechosas desde dentro o fuera de Google Play debería ser suficiente por el momento.

Más información | Kryptowire

Temas
Inicio