2022 · El origen
2022 28 ago
🔍 Descubrimiento original
Lostmon encuentra TransactionTooLargeException y DeadSystemException en Firefox Focus, Firefox Nightly mediante clipboard, share y open-in-app.
2022 12 oct
📝 Publicación del advisory
Se publica el primer advisory público: "Mozilla Firefox Focus and Nightly for Android Remote Crash DoS" en lostmon.blogspot.com.
2022 Nov
📋 Reporte a Chromium · Issue 40879254
Se abre Chromium Issue 40879254. Se eliminan las etiquetas de seguridad (comment #9). Se aplica un parche UX parcial (comment #22). El issue sigue abierto y asignado.
2022 Nov
📋 Reporte a Mozilla · Bugzilla #1802594
Se abre Mozilla Bugzilla #1802594 (Severidad S3). El issue sigue en estado NEW (sin resolver) en 2026.
2026 · La investigación formal
2026 20 ene
📋 Reporte al Chrome VRP · Issue 477202817
Se envía el reporte al Chrome VRP con 27 vectores. Google lo cierra el mismo día como "Won't Fix (Intended Behavior)" argumentando que el DoS "no es un bug de seguridad en Chrome".
2026 20 ene
📋 Reporte al Android VRP y MSRC
Se envía el reporte formal a Google Android VRP (A-477279924) y a Microsoft MSRC.
2026 Ene
💰 Recompensa de Google · $250
Google paga 250 dólares por la primera parte de la investigación (caso Binder/IPC).
2026 Feb
📄 Whitepaper v4
Se distribuye el whitepaper v4 con 27 vectores. Se añaden STA-015-DL (CVSS 8.6) y STA-015b.
2026 Mar
🔍 Reporte a Meta
Se notifica a Meta (WhatsApp/Threads) a través de su bug platform. No hay respuesta.
Mayo–Junio 2026 · La evidencia de campo
2026 24 may
📱 Bugreport de Chrome · STA-017 → Tier A
Se capturan 2 ANR completos de Chrome con trazas nativas de libminikin.so en un Xiaomi Redmi Note 14 5G (Android 16, HyperOS 3.0).
2026 26 may
📱 Bugreport de SystemUI · 85 crashes
Se capturan 85 SystemUI crashes en 4 días en el mismo dispositivo. Primera confirmación en Android 16.
2026 31 may
📱 STA-015-DL · Ataque remoto confirmado
Se confirma el ataque remoto a través de Google Drive: callingPackage=com.google.android.apps.docs. Afecta a 6 navegadores.
2026 10 jun
📋 Notificaciones a vendors
Se envían reportes a Mozilla, Opera, DuckDuckGo (HackerOne), Brave (HackerOne), Tor Project, Xiaomi (HackerOne).
2026 10 jun
📱 Bugreport de Firefox · 16.006 ms
Se captura ANR de Firefox con 16.006 ms de duración. Trigger: enlace real de Gmail. STA-017 Firefox → Tier A.
2026 14 jun
📋 Respuesta de MSRC
Microsoft MSRC responde, deriva el caso a Google y solicita casos separados.
2026 15 jun
❌ Google cierra libminikin · "out of scope"
Google cierra el reporte específico de libminikin (524288518) como "out of scope" — meses después de pagar los $250 por el caso Binder/IPC.
2026 16 jun
📋 Apelación a Google
Se envía apelación para STA-015-DL (CVSS 8.6), citando precedentes CVE-2023-21167 y A-259942964.
2026 16 jun
📋 Respuesta de Opera · P5 (Informational)
Opera clasifica STA-016/017 como P5 (Informational). Afecta a Opera y Opera Mini.
2026 19 jun
📋 Rechazo de Brave
Brave rechaza el reporte como "upstream/DoS out of scope".
2026 20 jun
📱 Segunda confirmación SystemUI · Edge ANR
Segundo bugreport espontáneo de SystemUI. 3 crashes en 1.7s → Edge ANR 25s después. STA-017 Edge → Tier A.
2026 24 jun
📋 MSRC · Casos separados
Se envían 3 casos separados a MSRC (STA-013, STA-017/STA-020, STA-015-DL).
2026 24 jun
📝 Publicación: Structured Text Amplification (STA)
Se publica el primer artículo en el blog: "Structured Text Amplification (STA)" — el marco teórico.
2026 24 jun
📝 Publicación: Algorithmic DoS en libminikin.so
Se publica el segundo artículo en el blog: "Algorithmic DoS en libminikin.so" — la prueba de concepto.
2026 28 jun
📱 Bugreport de Google App · 5 ANR + 3 TransactionTooLargeException
Se capturan 5 ANR + 3 TransactionTooLargeException en 14 minutos. breakLineGreedy también es vulnerable. STA-017 Google App → Tier A. Primera evidencia de Clase A + Clase B simultáneas.
2026 30 jun
📋 Confirmación sin parche
No hay commits en AOSP, Chromium o AndroidX que aborden los vectores documentados. El boletín de junio no contiene CVEs relacionados.
Julio 2026 · La cuenta atrás
2026 5 jul
📋 Nuevo issue de Google · #531319203
Se abre issue #531319203: system_server boot loop por imagen grande en BitmapCache. El mismo patrón arquitectónico.
2026 6 jul
📋 Boletín de julio sin parche
Google publica el boletín de seguridad de julio de 2026. No contiene ningún parche para los 31 vectores.
2026 8 jul
📋 Xiaomi sin respuesta · 35+ días
Xiaomi no responde tras 35+ días. Se envía seguimiento con deadline del 20 de julio.
2026 10 jul
📝 Publicación: 10 años de vulnerabilidad
Se publica el tercer artículo en el blog: "libminikin: 10 años de vulnerabilidad en el núcleo de Android" — el análisis forense del código de AOSP.
2026 10 jul
📋 Meta sin respuesta · 113+ días
Meta no responde tras 113+ días.
2026 10 jul
📱 Actualización de seguridad · Sigue vulnerable
El dispositivo Xiaomi Redmi Note 14 5G recibe el parche de junio de 2026. Sigue siendo vulnerable.
2026 11 jul
📝 Nota de prensa · BojosXtu
Se prepara la nota de prensa para BojosXtu. Se añade la contradicción de los $250.
2026 12 jul
📋 Issue 477202817 · Confirmado
Se confirma que Chromium Issue 477202817 (reporte al Chrome VRP) sigue cerrado como "Won't Fix (Intended Behavior)".
📅 Próximos pasos
2026 20 jul
⏰ Último día para vendors
Fecha límite para que los vendors (Xiaomi, Meta, etc.) respondan.
2026 30 jul
🚀 PUBLICACIÓN DEL WHITEPAPER
Se publica el whitepaper completo con 31 vectores, trazas nativas, código AOSP y cronología.
El mundo sabrá la verdad.