Co potřebuješ vědět
- Google našel v Androidu bezpečnostní chybu, která umožňovala vzdálené spuštění kódu, což popsal jako „kritickou bezpečnostní chybu“.
- Tato chyba zabezpečení je známá jako chyba „nulového kliknutí“, což znamená, že ke zneužití nevyžaduje žádnou interakci.
- Google poskytuje výrobcům OEM opravu prostřednictvím projektu Android Open Source Project, ale bude na každém výrobci telefonů, aby do svých smartphonů dodal aktualizace.
Google objevil „kritickou bezpečnostní zranitelnost“ v Androidu, která umožňuje vzdálenému hackerovi spustit kód na vašem telefonu, uvedl v prosinci Bulletin zabezpečení systému Android. Společnost již poskytla výrobcům telefonů Android opravu, ale každý OEM bude muset odeslat vlastní aktualizaci, aby opravila bezpečnostní chybu.
Chyba byla přiřazena CVE-2023-40088 v Národní databáze zranitelnosti, která poskytuje další informace. Podle zprávy NVD se problém objeví, když se telefon Android pokusí spustit a callback_thread_event z com_android_bluetooth_btservice_AdapterService.cpp
. Během této akce je možné, že dojde k poškození paměti s chybou zabezpečení bez použití.Tento problém v podstatě způsobuje přístup k telefonům Android com_android_bluetooth_btservice_AdapterService.cpp bez autorizace poté, co již byla uvolněna paměť systému. To by mohlo umožnit vzdálenému hackerovi přístup k telefon s Androidem, spouštění kódu bez nutnosti jakékoli akce uživatele.
I když lze tuto chybu provést na dálku, stojí za zmínku, že potenciální útočník musí být relativně blízko vás, aby fungoval. Lze jej využívat prostřednictvím bezdrátového připojení Wi-Fi, Bluetooth nebo NFC.
Google poslal opravu pro Android verze 11, 12, 12L, 13 a nejnovější Android 14 skrz Projekt Android Open Source. Pravděpodobně to znamená, že telefony Android v těchto verzích jsou touto chybou ovlivněny. Protože tento problém umožňuje vzdálené spuštění kódu bez nutnosti zásahu uživatele, jde o jeden z nejzávažnějších typů bezpečnostních chyb.
Google ani NVD nespecifikují, zda byla chyba aktivně využívána ve volné přírodě. Obvykle by to bylo uvedeno v případě, že byla zneužita bezpečnostní chyba, ale nevíme to jistě. Google nepřidal žádný další kontext pro zranitelnost, což se dá očekávat. Společnost pravděpodobně neposkytne více informací, dokud nebude problém opraven a většina aktivních zařízení aktualizována.
Vzhledem k tomu, že oprava bude vydána prostřednictvím AOSP, neuvidíte aktualizaci okamžitě. Aktualizace bude odeslána během několika příštích dní, ale poté musí opravu odeslat každý OEM Android. Telefony Pixel by mohly být prvními, které opravu obdrží, ale časové osy se mohou u jiných značek lišit.
S ohledem na závažnost tohoto problému sledujte tento měsíc bezpečnostní aktualizaci, pokud používáte smartphone se systémem Android.