Google ha solucionado un error de seguridad que ponía en riesgo una serie de dispositivos con sistema Android, en tanto que facilitaba que los actores maliciosos falsificaran una actualización del sistema para obtener el control de esos equipos.
La firma de ciberseguridad Meta Red Team X identificó en septiembre del año pasado una vulnerabilidad que afectaba a los módulos APEX, que permiten a los fabricantes actualizar partes concretas del sistema sin tener que lanzar una actualización completa.
En este caso, se debe a que algunos fabricantes firmaron los módulos APEX con claves privadas procedentes del repositorio Android Open Source Project (AOSP), lo que permitió que cualquiera pudiera falsificar una actualización e instalar 'malware' en los dispositivos con el objetivo de controlarlos, como explican Meta Red Team X en su blog.
Google corrigió esta vulnerabilidad, que se ha registrado como CVE-2023-45779, con el nivel de parche de seguridad 2023-12-05, lo que ha permitido que los fabricantes pudieran actualizar sus equipos afectados desde mediados de diciembre.
Aunque entre los afectados hay marcas de primer nivel, no todos los modelos de 'smartphones' y tabletas presentaban la vulnerabilidad. La lista detallada por Meta Red Team X recoge que los equipos vulnerables eran Asus Zenfone 9, vivo X90 Pro, Nokia G50, Microsoft Surface Duo 2, Lenovo Tab M10 Plus (Gen 3, Wi-Fi), Nothing Phone 2 y Fairphone 5.