En agosto de 2014, la empresa de seguridad QuarksLAB escribió a Samsung sobre dos vulnerabilidades graves descubiertas que afectan al kernel del Galaxy S4 (modelo GT-I9500). Samsung no hizo nada por solucionar los bugs hasta que QuarksLAB publicó un post en detalle sobre el asunto, hace apenas un par de semanas. Pero hay más.
El fabricante coreano parcheará la vulnerabilidad únicamente en los dispositivos que funcionen sobre Android 5 Lollipop. Samsung ha confirmado que dejará sin arreglar los terminales más antiguos, aquellos que estén todavía en JellyBean o KitKat. Las dos vulnerabilidades, explicadas en Softpedia, se encuentran en los drivers de vídeo del Galaxy S4.
La primera permite filtrar programas en la pila, con lo que el atacante conseguiría saturar la memoria o hacer funcionar un exploit. La segunda permite sobreescribir los punteros de algunas funciones o los valores de la memoria virtual, con lo que se conseguiría un ataque de denegación de servicio o elevar los privilegios de un programa.
La parsimonia de Samsung
Esta es la cronología de las interacciones entre QuarksLAB y Samsung, según la propia QuarksLAB:
Feb 03 2014 – Vulnerabilities found
Aug 08 2014 – Report sent to the Samsung Security Team
Nov 24 2014 – Samsung confirmed the security issuesFeb
11 2015 – Private CVE request sent to the Mitre team but no response
Feb 18 2015 – Second private CVE request sent to the Mitre team but no response
Mar 16 2015 – CVE request sent to Kurt Seifried
Mar 17 2015 – CVE assigned: CVE-2015-1800 (1 bug) and CVE-2015-1801 (4 bugs)
Sep 11 2015 – Last attempt to obtain a patch from the Samsung Security Team
Sep 21 2015 – Still not patched by Samsung on the JB and KK families: going full disclosure
Sep 22 2015 – Samsung confirmed us these vulnerabilities are patched only on the LL family
Asombra la parsimonia de una empresa del tamaño de Samsung ante un problema de seguridad de uno de sus terminales mejor vendidos.
***
Psst! también puedes seguirnos en Twitter, Facebook o Google+ 🙂
