Was du wissen musst
- Google hat eine Sicherheitslücke in Android gefunden, die die Ausführung von Remotecode ermöglichte, die es als „kritische Sicherheitslücke“ bezeichnete.
- Bei der Sicherheitslücke handelt es sich um einen sogenannten „Zero-Click“-Fehler, der keine Interaktion erfordert, um ausgenutzt zu werden.
- Google stellt OEMs über das Android Open Source Project eine Lösung zur Verfügung, aber es liegt an jedem Telefonhersteller, Updates für seine Smartphones bereitzustellen.
Google habe in Android eine „kritische Sicherheitslücke“ entdeckt, die es einem Remote-Hacker ermöglicht, Code auf Ihrem Telefon auszuführen, hieß es im Dezember Android-Sicherheitsbulletin. Das Unternehmen hat Herstellern von Android-Telefonen bereits eine Lösung bereitgestellt, aber jeder OEM muss sein eigenes Update versenden, um die Sicherheitslücke zu schließen.
Der Fehler wurde zugewiesen CVE-2023-40088 im Nationale Schwachstellendatenbank, die weitere Informationen bietet. Dem NVD-Bericht zufolge tritt das Problem auf, wenn das Android-Telefon versucht, a auszuführen
callback_thread_event von com_android_bluetooth_btservice_AdapterService.cpp. Während dieser Aktion ist es möglich, dass der Speicher aufgrund einer Use-After-Free-Sicherheitslücke beschädigt wird.Im Wesentlichen führt dieses Problem dazu, dass Android-Telefone darauf zugreifen com_android_bluetooth_btservice_AdapterService.cpp ohne Autorisierung, nachdem der Systemspeicher bereits freigegeben wurde. Dies könnte es einem Remote-Hacker ermöglichen, auf eine zuzugreifen Android Telefon, Code ausführen, ohne dass eine Benutzeraktion erforderlich ist.
Obwohl dieser Fehler aus der Ferne ausgeführt werden kann, ist es erwähnenswert, dass ein potenzieller Angreifer relativ in Ihrer Nähe sein muss, damit er funktioniert. Es kann über eine drahtlose Wi-Fi-, Bluetooth- oder NFC-Verbindung genutzt werden.
Google hat einen Fix für die Android-Versionen 11, 12, 12L, 13 und die neuesten Versionen gesendet Android 14 durch das Android Open Source-Projekt. Vermutlich bedeutet dies, dass Android-Telefone dieser Versionen von dem Fehler betroffen sind. Da dieses Problem die Remote-Codeausführung ohne erforderliche Benutzerinteraktion ermöglicht, handelt es sich um eine der schwerwiegendsten Arten von Sicherheitslücken.
Weder Google noch NVD geben an, ob der Fehler aktiv ausgenutzt wurde. Normalerweise wird dies angegeben, wenn eine Sicherheitslücke ausgenutzt wurde, aber wir wissen es nicht genau. Google hat erwartungsgemäß keinen weiteren Kontext zur Sicherheitslücke hinzugefügt. Das Unternehmen wird wahrscheinlich keine weiteren Informationen bereitstellen, bis das Problem behoben und die Mehrheit der aktiven Geräte aktualisiert wurde.
Da der Patch jedoch über das AOSP veröffentlicht wird, wird Ihnen nicht sofort ein Update angezeigt. Das Update wird in den nächsten Tagen verschickt, aber jeder Android-OEM muss das Update danach verschicken. Pixel-Telefone könnten die ersten sein, die den Patch erhalten, aber die Zeitpläne können bei anderen Marken variieren.
Angesichts der Schwere dieses Problems sollten Sie diesen Monat nach einem Sicherheitsupdate Ausschau halten, wenn Sie ein Android-Smartphone verwenden.