Un concurso interno entre miembros de norteamericanos y europeos del grupo Project Zero de Google resultó en el descubrimiento de once vulnerabilidades de día cero de alto impacto que afectan a los teléfonos inteligentes Galaxy S6 Edge de Samsung.

"La mayoría de los dispositivos Android no están hechos por Google sino por empresas externas conocidas como Original Equipment Manufacturers u OEM, los cuales hacen uso del Proyecto de Código Abierto de Android (AOSP) como base para los dispositivos móviles que fabrican. Los OEM son un área importante para la investigación de seguridad de Android, ya que introducen código adicional (y posiblemente vulnerable) en los dispositivos Android en todos los niveles de privilegios; ellos también deciden la frecuencia de las actualizaciones de seguridad que ofrecen para sus dispositivos a los proveedores de redes móviles", explicó Natalie Silvanovich, ingeniera de seguridad en el Equipo de Seguridad de Android y miembro de Project Zero.

De vez en cuando Google prueba diferentes dispositivos OEM para encontrar vulnerabilidades de seguridad y para ver qué tan pronto son reparadas después de haber sido dadas a conocer a los fabricantes.

Una semana después, el resultado fue de once vulnerabilidades encontradas (los detalles adicionales se encuentran publicados en el siguiente blog).

"Parecía ser que las áreas débiles eran los controladores de dispositivos y el procesamiento de medios de comunicación. Encontramos fallas muy rápidamente en estas áreas a través de fuzzing (pruebas de software introduciendo datos inválidos o inesperados) y revisión de código. También fue sorprendente encontrar tres fallas lógicas, triviales para explotar. Este tipo de fallas son particularmente preocupantes, ya que el tiempo para encontrarlas, explotarlas y utilizarlas es muy corto", señaló Silvanovich.

La buena noticia es que la aplicación de una serie de medidas de seguridad ralentizó el proceso de explotación. Por ejemplo, SELinux hizo más difícil atacar a un dispositivo.

"En particular, esto hizo más difícil investigar ciertos errores y determinar la superficie de ataque del dispositivo. El deshabilitar el comando setenforce de Android en el dispositivo hace esto aún más difícil", señaló. "Dicho esto, encontramos tres errores que permitirían a un exploit desactivar SELinux, así que no es una mitigación efectiva contra todas las vulnerabilidades."

Otra buena noticia es que Samsung ya ha parchado ocho de estas fallas, podría decirse que las más graves, en su sesión de mantenimiento de octubre. Estas correcciones se desarrollaron y publicaron --dentro de los 90 días del descubrimiento de las fallas, un plazo razonable para los estándares de Google.

Se ha previsto que las soluciones para las tres restantes sean liberadas en noviembre.