Corrección de tubería sucia: Samsung implementa el código de Google más rápido que Google
Dirty Pipe es una de las vulnerabilidades del kernel de Linux más graves de los últimos años. El error permite que un usuario sin privilegios sobrescriba datos de solo lectura, lo que puede resultar en una escalada de privilegios. El error se solucionó el 19 de febrero y, para versiones de Linux como Unbuntu, se escribió y lanzó un parche para los usuarios finales en aproximadamente 17 días. Android está basado en Linux, por lo que los fabricantes de Google y Android también deben corregir el error.
Ha pasado un mes completo desde el lanzamiento de Linux para escritorio, así que, ¿cómo va Android?
Según una cronología proporcionada por Max Kellermann, el investigador que descubrió la vulnerabilidad, Google parchó Dirty Pipe en el código base de Android el 23 de febrero. Pero el ecosistema de Android es notoriamente malo en la entrega de código actualizado a los usuarios. En cierto modo, la lentitud de Android ayudó con esta vulnerabilidad. El error apareció en Linux 5.8, lanzado en agosto de 2020. Entonces, ¿por qué el error no se ha extendido por todo el ecosistema de Android en los últimos dos años?
La compatibilidad con Linux en Android solo saltó de 5.4 a 5.10 con el lanzamiento de Android 12 hace seis meses, y los teléfonos Android generalmente no saltan de las principales versiones del kernel. Solo los teléfonos nuevos obtienen el kernel más reciente, y luego tienden a usar actualizaciones menores de soporte a largo plazo hasta que se retiran.
El lanzamiento lento del kernel de Android significa que el error solo afecta a los nuevos teléfonos 2022, es decir, dispositivos con kernel 5.10 como Google Pixel 6, Samsung Galaxy S22 y OnePlus 10 Pro. La vulnerabilidad ya se convirtió en un exploit funcional con privilegios de root para Pixel 6 y S22.
La compañía no respondió nuestras preguntas (u otras) sobre lo que sucedió con el parche, pero es razonable esperar que el Pixel 6 ya tenga la solución. Este es un teléfono de Google con un chip de Google que ejecuta el sistema operativo Google, por lo que la empresa debería poder implementar una actualización rápidamente. Después de que la solución llegó al código base a fines de febrero, muchas ROM de terceros, como GrapheneOS , pudieron integrar la solución a principios de marzo.
Parece que Samsung realmente se adelantó a Google al emitir un parche. Samsung enumera una solución para CVE-2022-0847 en su propio boletín de seguridad , lo que indica que la solución se aplica al Galaxy S22. Samsung separa las vulnerabilidades en errores de Android y errores de Samsung e informa que CVE-2022-0847 está contenido en el boletín de seguridad de Android de abril de Google, aunque esto no es cierto. O Samsung optó por una solución y no la incluyó en su boletín, o Google eliminó la solución del Pixel 6 en el último minuto.
El parche llegó al repositorio de código fuente de Android hace 40 días. Ahora que el error es público y está disponible para todos, parece que Google necesita actuar más rápido para solucionarlo.
Deja una respuesta