Google ha publicado su Boletín de seguridad de Android correspondiente a abril de 2025, el cual resuelve múltiples vulnerabilidades críticas, incluyendo dos fallas de día cero que han sido explotadas activamente en ataques dirigidos.
Este es el tercer mes consecutivo en el que Google emite parches de emergencia para vulnerabilidades que están siendo explotadas, lo que subraya los persistentes desafíos de seguridad que afronta el ecosistema Android.
Vulnerabilidades críticas bajo explotación activa
La actualización de seguridad de abril de 2025 aborda específicamente CVE-2024-53150 y CVE-2024-53197, los cuales, según confirma Google, «pueden estar bajo explotación limitada y dirigida».
Estas vulnerabilidades afectan a los dispositivos en múltiples versiones de Android, desde Android 12 a 15, con especial preocupación en los dispositivos que no han recibido actualizaciones de seguridad oportunas.
CVE-2024-53150 representa una amenaza de seguridad importante dentro del controlador de audio USB ALSA del kernel de Linux.
Esta vulnerabilidad ocurre cuando el controlador no logra validar el parámetro bLength mientras procesa correctamente los descriptores de reloj.
Cuando se explota, esta vulnerabilidad de lectura fuera de límites (CWE-125) podría exponer contenidos confidenciales de la memoria del kernel, comprometiendo la seguridad del sistema.
La vulnerabilidad tiene una puntuación base CVSS v3.1 de 7,1 (ALTA), lo que indica su naturaleza grave.
La segunda vulnerabilidad explotada activamente, CVE-2024-53197, también afecta al controlador de audio USB ALSA del kernel de Linux, afectando específicamente a las configuraciones de dispositivos Extigy y Mbox.
Esta falla ocurre cuando un dispositivo USB malicioso presenta un valor de bNumConfigurations no válido que excede la memoria asignada inicialmente.
Esta discrepancia conduce a un posible acceso a la memoria fuera de los límites en la función usb_destroy_configuration, lo que podría provocar fallas del sistema o una escalada de privilegios.
Los investigadores de seguridad de GrapheneOS han observado que los bloqueos de dispositivos convencionales (incluidas contraseñas, huellas dactilares y reconocimiento facial) pueden no proteger completamente contra la explotación de estas fallas.
Los expertos en seguridad creen que CVE-2024-53197 comparte similitudes con exploits utilizados anteriormente por empresas de inteligencia digital como Cellebrite, particularmente para extraer datos de dispositivos bloqueados.
Esto sugiere posibles conexiones con sofisticadas herramientas de vigilancia utilizadas en operaciones específicas.
Distribución de parches
Google ya ha enviado parches a los dispositivos Pixel, mientras que Samsung ha demostrado un tiempo de respuesta mejorado en comparación con incidentes de seguridad anteriores.
La actualización de seguridad de Samsung de abril de 2025 aborda más de 60 vulnerabilidades en total, incluidas estas fallas críticas del kernel.
Los parches se han lanzado en dos niveles de parches de seguridad (2025-04-01 y 2025-04-05), y este último contiene las correcciones para las vulnerabilidades explotadas activamente.
Los parches de código fuente se lanzarán en el repositorio del Proyecto de código abierto de Android (AOSP) dentro de las 48 horas posteriores a la publicación del boletín.
En particular, el Grupo de Análisis de Amenazas de Google informó anteriormente de un aumento del 50 % en los exploits de día cero observados en 2023 en comparación con 2022, con 48 vulnerabilidades atribuidas a actores de espionaje y 49 a piratas informáticos con motivación financiera.
Se recomienda encarecidamente a los usuarios que actualicen sus dispositivos inmediatamente al nivel de parche de seguridad 2025-04-05 o posterior para mitigar estos graves riesgos de seguridad.
