La actualización de seguridad de Android de abril de 2022 ya está disponible para los teléfonos inteligentes Google Pixel y Samsung Galaxy. Entre otras cosas, el último parche de seguridad parece haber solucionado la vulnerabilidad de Dirty Pipe que afectó a los dispositivos de la serie Pixel 6 y Galaxy S22. ¿O lo tiene?
Tanto Samsung como Google publicaron recientemente su respectivo boletín de seguridad para abril de 2022. Sin embargo, curiosamente, solo Samsung boletín menciona la solución para la vulnerabilidad de Dirty Pipe. La compañía enumera el número CVE-2022-0847 de Vulnerabilidades y exposiciones comunes (CVE), que Google había asignado a Dirty Pipe a principios de este año, como un elemento CVE de alta gravedad corregido por Google.
Sin embargo, el identificador CVE-2022-0847 no se encuentra en la seguridad actualizada de Google. boletín. Incluso el Específico de píxeles el parche de seguridad de abril de 2022 no lo menciona. Esto sugiere que la última actualización de seguridad no corrige la vulnerabilidad de Dirty Pipe en los dispositivos Pixel 6 y Pixel 6 Pro. Mishaal Rahman de Esper.io dice que la versión del kernel del Pixel 6 Pro después de instalar el parche de abril también indica que la vulnerabilidad no está parcheada.
¿Samsung ha solucionado la vulnerabilidad de Dirty Pipe por su cuenta con la actualización de abril?
Samsung, por otro lado, parece haber reparado la vulnerabilidad de Dirty Pipe en sus dispositivos afectados con el SMR de abril (versión de mantenimiento de seguridad). Esto es un poco sorprendente y confuso también. La vulnerabilidad proviene de Linux, la plataforma de código abierto de la que se origina Android. Por lo tanto, Google debería haber implementado primero una solución a nivel de Android.
Dicho esto, Dirty Pipe solo afecta a los dispositivos que ejecutan la versión 5.8 o posterior del kernel de Linux. Según los informes, los teléfonos inteligentes seleccionados que usan Snapdragon 8 Gen 1 de Qualcomm o el procesador Tensor de Google y debutaron con Android 12 son vulnerables. Estos incluyen Galaxy S22, Pixel 6, Xiaomi 12 Pro y OnePlus 10 Pro. Entonces, tal vez Google preparó una solución para Dirty Pipe y se la proporcionó a los fabricantes de los dispositivos afectados para que pudieran impulsar la actualización cuando pudieran. Samsung envió el parche a la serie Galaxy S22 como parte de la actualización de abril.
Esto también explica por qué el boletín de seguridad específico de Google Pixel no incluye CVE-2022-0847. Dado que no afecta a todos los dispositivos Pixel, planea sembrar por separado el parche para la serie Pixel 6. Sin embargo, estas son solo suposiciones. Todavía no tenemos una confirmación oficial sobre la corrección de Dirty Pipe para la serie Pixel 6. Con suerte, Google nos dirá algo pronto. Los mantendremos informados.
Mientras tanto, si usa un dispositivo Pixel 6, es posible que desee instalar la actualización de abril lo antes posible. Y espero que incluya la solución para Dirty Pipe. Esta vulnerabilidad permite que un atacante obtenga acceso a nivel de sistema a su dispositivo y tome el control total de forma remota.
