Google lanzó parches de seguridad en la actualización de marzo de 2025 de Android, abordando 43 vulnerabilidades, incluidas dos fallas de día cero que fueron explotadas en ataques dirigidos.
Fallas de día cero y su explotación ️♂️
Una de las vulnerabilidades explotada por las autoridades serbias es una falla de divulgación de información de alta gravedad (CVE-2024-50302) en el controlador del kernel de Linux para dispositivos de interfaz humana.
Esta falla fue utilizada en una cadena de explotación de día cero de Android creada por la empresa de forense digital israelí Cellebrite para desbloquear dispositivos confiscados.
Cadena de explotación y análisis de Amnesty
La cadena de explotación también incluye un zero-day en USB Video Class (CVE-2024-53104) y una vulnerabilidad en el controlador de sonido USB de ALSA que fue descubierta por Amnesty International en 2024 mientras analizaba los registros de un dispositivo desbloqueado por las autoridades serbias.
Respuesta de Google y medidas preventivas ✅
Google indicó que ya estaba al tanto de estas vulnerabilidades y los riesgos de explotación antes de que los informes fueran públicos. Los parches de seguridad fueron compartidos con los socios OEM en enero de 2025 para su implementación.
Google también confirmó que la actualización de seguridad de Android de marzo aborda 11 vulnerabilidades adicionales que podrían permitir la ejecución remota de código en dispositivos afectados.
Detalles de la segunda vulnerabilidad de día cero ⚠️
La segunda vulnerabilidad de día cero corregida este mes (CVE-2024-43093) se trata de una elevación de privilegios en el marco de Android que permite a los atacantes locales acceder a directorios sensibles debido a una normalización incorrecta de unicode y un bypass del filtro de ruta de archivo, sin necesidad de privilegios adicionales o interacción del usuario.
Actualización de seguridad y distribución
Google Pixel recibe las actualizaciones inmediatamente, mientras que otros fabricantes de dispositivos suelen demorar más tiempo para probar y ajustar los parches según sus configuraciones de hardware.
Los parches también corrigen subcomponentes de terceros y del kernel que no aplican a todos los dispositivos Android.
Vulnerabilidad anterior y contexto
En noviembre, Google también corrigió otro zero-day de Android (CVE-2024-43047) que fue utilizado por el gobierno serbio en ataques de spyware NoviSpy dirigidos a activistas, periodistas y manifestantes.