Vad du behöver veta
- Google hittade ett säkerhetsbrist i Android som möjliggjorde fjärrkörning av kod, som den beskrev som en "kritisk säkerhetsrisk."
- Sårbarheten är vad som kallas ett "nollklick"-fel, vilket innebär att det inte kräver någon interaktion för att kunna utnyttjas.
- Google ger OEM-tillverkare en lösning genom Android Open Source Project, men det är upp till varje telefontillverkare att skicka uppdateringar till sina smartphones.
Google upptäckte en "kritisk säkerhetssårbarhet" i Android som gör det möjligt för en fjärrhacker att exekvera kod på din telefon, stod det i december Android säkerhetsbulletin. Företaget har redan försett Android-telefontillverkare med en fix, men varje OEM måste skicka ut sin egen uppdatering för att korrigera säkerhetsbristen.
Felet har tilldelats CVE-2023-40088 i Nationell sårbarhetsdatabas, som ger mer information. Enligt NVD-rapporten dyker problemet upp när Android-telefonen försöker köra en callback_thread_event av com_android_bluetooth_btservice_AdapterService.cpp
. Under den här åtgärden är det möjligt att minnet skadas med en sårbarhet efter användning.I huvudsak orsakar detta problem Android-telefoner att komma åt com_android_bluetooth_btservice_AdapterService.cpp utan behörighet efter att systemets minne redan har avallokerats. Detta kan tillåta en fjärrhacker att komma åt en Android telefon, exekvera kod utan att någon användaråtgärd behövs.
Även om detta fel kan utföras på distans, är det värt att notera att en blivande angripare måste vara relativt nära dig för att det ska fungera. Det kan utnyttjas via Wi-Fi, Bluetooth eller trådlös NFC-anslutning.
Google har skickat en fix för Android-versionerna 11, 12, 12L, 13 och den senaste Android 14 genom Android Open Source Project. Förmodligen betyder detta att Android-telefoner på dessa versioner påverkas av buggen. Eftersom det här problemet möjliggör fjärrkörning av kod utan att användaren behöver interagera, är det en av de allvarligaste typerna av säkerhetsbrister.
Varken Google eller NVD specificerar om buggen har utnyttjats aktivt i naturen. Vanligtvis skulle detta anges i händelse av att ett säkerhetsbrist har utnyttjats, men vi vet inte säkert. Google lade inte till något mer sammanhang för sårbarheten, vilket är att vänta. Företaget kommer sannolikt inte att ge mer information förrän problemet har åtgärdats och majoriteten av aktiva enheter har uppdaterats.
Men eftersom patchen kommer att släppas via AOSP kommer du inte att se en uppdatering direkt. Uppdateringen kommer att skickas ut under de närmaste dagarna, men varje Android OEM måste skicka ut korrigeringen efter det. Pixel-telefoner kan vara de första som får patchen, men tidslinjerna kan variera för andra märken.
Med tanke på hur allvarligt det här problemet är, håll utkik efter en säkerhetsuppdatering den här månaden om du använder en Android-smarttelefon.