Google ha confirmado que dos vulnerabilidades de día cero están siendo explotadas activamente, según el último boletín de seguridad de la compañía. Los fallos, identificados como CVE-2024-43093 y CVE-2024-43047, afectan al sistema operativo Android y a los chipsets de Qualcomm, respectivamente.
CVE-2024-43093 se describe como una vulnerabilidad de escalada de privilegios en el componente del Framework de Android que podría permitir el acceso no autorizado a los directorios «Android/data,» «Android/obb» y «Android/sandbox,» junto con sus subdirectorios.
Google no ha proporcionado más detalles sobre cómo se está utilizando esta vulnerabilidad en ataques reales.
La segunda vulnerabilidad, CVE-2024-43047, es un fallo de tipo use-after-free en el servicio de procesador de señal digital (DSP) de Qualcomm que podría provocar una corrupción de memoria si se explota con éxito. Qualcomm confirmó que las correcciones para esta vulnerabilidad estuvieron disponibles para sus clientes desde septiembre de 2024.
El Grupo de Análisis de Amenazas de Google y el Laboratorio de Seguridad de Amnistía Internacional identificaron la explotación de la vulnerabilidad de Qualcomm.
La falla de Android afecta múltiples directorios
La participación del grupo de derechos humanos sugiere un posible vínculo con actividades de espionaje o ataques patrocinados por estados, aunque no se han revelado víctimas específicas.
Se insta a los usuarios de Pixel a instalar la actualización de seguridad tan pronto como esté disponible en sus dispositivos. Sin embargo, algunos usuarios han informado problemas al cargar aplicaciones después de instalar la actualización, lo que podría deberse a un conflicto entre Android 15 y una actualización de Google Play.
Kern Smith, vicepresidente de ingeniería de ventas global en la firma de ciberseguridad móvil Zimperium, destacó la creciente tendencia de los atacantes a centrarse en dispositivos móviles para infiltrarse en datos corporativos y explotar cadenas de suministro.
Smith señaló que los dispositivos móviles enfrentan desafíos similares a otros puntos finales, especialmente cuando son fundamentales tanto para la vida personal como profesional.
El boletín de seguridad informó correcciones para un total de 44 CVEs. Google no ha publicado más detalles sobre estas vulnerabilidades en este momento para permitir que los usuarios actualicen sus dispositivos primero.
