Какво трябва да знаете
- Google откри пропуск в сигурността на Android, който позволява отдалечено изпълнение на код, който описва като „критична уязвимост в сигурността“.
- Уязвимостта е това, което е известно като недостатък с „нулево кликване“, което означава, че не изисква взаимодействие, за да бъде използвано.
- Google предоставя на производителите на оригинално оборудване корекция чрез проекта с отворен код на Android, но всеки производител на телефони ще трябва да доставя актуализации на своите смартфони.
Google откри "критична уязвимост в сигурността" в Android, която прави възможно отдалечен хакер да изпълни код на вашия телефон, съобщи през декември Бюлетин за сигурността на Android. Компанията вече предостави на производителите на телефони с Android корекция, но всеки OEM ще трябва да изпрати своя собствена актуализация, за да коригира пропуска в сигурността.
Грешката е присвоена CVE-2023-40088 в Национална база данни за уязвимости, който предоставя повече информация. Според доклада на NVD проблемът се появява, когато телефонът с Android се опита да стартира a
callback_thread_event на com_android_bluetooth_btservice_AdapterService.cpp. По време на това действие е възможно паметта да бъде повредена с уязвимост за използване след освобождаване.По същество този проблем причинява достъп на телефони с Android com_android_bluetooth_btservice_AdapterService.cpp без разрешение, след като паметта на системата вече е била освободена. Това може да позволи на отдалечен хакер да получи достъп до Android телефон, изпълняващ код без необходимост от действия на потребителя.
Въпреки че този недостатък може да бъде изпълнен дистанционно, струва си да се отбележи, че бъдещият нападател трябва да е относително близо до вас, за да работи. Може да се използва чрез Wi-Fi, Bluetooth или NFC безжична връзка.
Google изпрати корекция за Android версии 11, 12, 12L, 13 и най-новите Android 14 през Проект с отворен код за Android. Предполага се, че това означава, че телефоните с Android на тези версии са засегнати от грешката. Тъй като този проблем позволява дистанционно изпълнение на код без необходимост от потребителско взаимодействие, това е един от най-сериозните видове уязвимости в сигурността.
Нито Google, нито NVD уточняват дали грешката е била активно експлоатирана в природата. Обикновено това ще бъде посочено в случай, че е използван пропуск в сигурността, но не знаем със сигурност. Google не добави повече контекст за уязвимостта, което може да се очаква. Компанията вероятно няма да предостави повече информация, докато проблемът не бъде коригиран и по-голямата част от активните устройства не бъдат актуализирани.
Въпреки това, тъй като корекцията ще бъде пусната чрез AOSP, няма да видите актуализация веднага. Актуализацията ще бъде изпратена през следващите няколко дни, но всеки OEM Android трябва да изпрати корекцията след това. Телефоните Pixel могат да бъдат първите, които ще получат корекцията, но сроковете могат да варират за други марки.
Имайки предвид сериозността на този проблем, внимавайте за актуализация на защитата този месец, ако използвате смартфон с Android.