Google ha publicado en su boletín 70 actualizaciones de seguridad para Android entre las cuales se soluciona una vulnerabilidad de elevación de privilegios presente en los chipset de MediaTek que afecta a millones de dispositivos.
La vulnerabilidad, nombrada como CVE-2020-0069, ha sido clasificada por Google como de gravedad alta. Sin embargo, en otros foros de desarrolladores como XDA Developer le otorgan una puntuación de 9.3 (crítica), ya que permite conseguir privilegios de sistema sin necesidad de desbloquear el bootloader.
El error se encuentra en el componente que gestiona la cola de comandos del procesador y permite sobreescribir ciertos procesos del kernel para elevar privilegios. Además, desactiva el módulo «SELinux», encargado de proporcionar mecanismos de seguridad al núcleo del sistema. A pesar de que MediaTek resolvió el fallo en mayo de 2019, son pocos los fabricantes que han aplicado los parches correspondientes.
Otras vulnerabilidades consideradas de gravedad crítica se encuentran en el componente «Media framework», encargado de administrar servicios como el de la cámara o la reproducción de ficheros de audio y vídeo.
La primera de ellas permitiría ejecutar código arbitrario en las versiones 8, 8.1, 9 y 10 de Android. Ha sido etiquetada con el código CVE-2020-0032. Otras dos vulnerabilidades consideradas de gravedad alta permitirían elevar privilegios (CVE-2020-0033) o revelar información sensible (CVE-2020-0034).
El mayor número de vulnerabilidades críticas se encuentran en el chip Qualcomm. En total se solucionan 48 fallos, de los cuales 16 son críticos.
