Investigadores en ciberseguridad han descubierto una falla crítica en KernelSU versión 0.5.7 que podría permitir a aplicaciones maliciosas de Android hacerse pasar por la aplicación administradora y obtener acceso root.
Según analistas de Zimperium zLabs, esta vulnerabilidad revela debilidades persistentes en los frameworks de root y jailbreak, que a menudo son desarrollados por equipos independientes sin auditorías de seguridad formales. La investigación, publicada el 14 de agosto de 2025, muestra cómo los atacantes podrían explotar fallas de diseño en la autenticación para eludir las protecciones de seguridad.
Cómo Funciona la Vulnerabilidad
KernelSU, junto con otras herramientas de root como APatch y SKRoot, generalmente obtiene acceso root mediante parches al kernel de Android y engancha funciones clave para ejecutar código arbitrario. Aunque este enfoque permite funciones avanzadas de gestión, también introduce riesgos significativos de seguridad.
Los frameworks de root suelen utilizar dos tipos de autenticación:
- Autenticación basada en contraseña, que puede ser débil o estar mal validada, como ocurre en APatch y SKRoot.
- Autenticación basada en paquete, donde el kernel confía en el nombre o la firma del paquete de la aplicación administradora, como lo hace KernelSU.
En KernelSU, el método basado en paquete verificaba el primer archivo APK encontrado en la tabla de descriptores de archivos de un proceso. Los atacantes podrían manipular el orden de los descriptores para presentar su APK malicioso como la primera coincidencia, eludiendo las verificaciones de firma. Para que el exploit tenga éxito, la aplicación del atacante debía ejecutarse antes que la aplicación administradora legítima, por ejemplo, después de reiniciar el dispositivo, lo que se puede automatizar usando el permiso RECEIVE_BOOT_COMPLETED
. A pesar de las limitaciones de tiempo, el ataque sigue siendo factible en condiciones reales.
Implicaciones Generales
Zimperium señala que vulnerabilidades similares son comunes en los frameworks de root, a menudo debido a:
- Autenticación débil o ausente entre las aplicaciones de usuario y los módulos del kernel
- Excesiva dependencia de entradas desde el espacio de usuario sin validación
- Canales de comunicación inseguros
- Escasa separación de privilegios entre aplicaciones y funciones a nivel root
Ejemplos anteriores incluyen una falla en APatch que permitía a cualquier aplicación realizar operaciones privilegiadas y CVE-2024-48336 de Magisk, que permitía a aplicaciones locales suplantar Google Mobile Services para obtener acceso root de manera silenciosa.
Los investigadores concluyeron que casi todos los frameworks de root presentan vulnerabilidades críticas en algún momento de su ciclo de vida, principalmente debido a la complejidad de modificar el comportamiento del kernel desde el espacio de usuario y la ausencia de revisiones de seguridad estructuradas.
Fuente: https://www.infosecurity-magazine.com/news/kernelsu-flaw-android-apps-root