Amit tudnod kell
- A Google biztonsági hibát talált az Androidban, amely lehetővé tette a távoli kódfuttatást, amit "kritikus biztonsági résnek" minősített.
- A sérülékenység az úgynevezett "nulla kattintásos" hiba, ami azt jelenti, hogy nincs szükség interakcióra a kihasználásához.
- A Google az Android Open Source Projecten keresztül megoldást kínál az OEM-eknek, de az egyes telefongyártók feladata, hogy frissítsék okostelefonjukat.
A Google egy "kritikus biztonsági rést" fedezett fel az Androidon, amely lehetővé teszi egy távoli hacker számára, hogy kódot hajtson végre a telefonon. Android biztonsági közlemény. A cég már biztosította az Android telefongyártóknak a javítást, de minden OEM-nek ki kell küldenie a saját frissítését a biztonsági hiba bejavításához.
A hiba hozzá van rendelve CVE-2023-40088 ban,-ben Nemzeti Sérülékenységi Adatbázis, amely további információkat nyújt. Az NVD jelentése szerint a probléma akkor jelenik meg, amikor az Android telefon megpróbálja futtatni a callback_thread_event
nak,-nek com_android_bluetooth_btservice_AdapterService.cpp. A művelet során előfordulhat, hogy a memória megsérülhet egy használat utáni szabad használatú sebezhetőség miatt.Lényegében ez a probléma okozza az Android telefonok hozzáférését com_android_bluetooth_btservice_AdapterService.cpp engedély nélkül, miután a rendszer memóriáját már felszabadították. Ez lehetővé teheti egy távoli hacker számára, hogy hozzáférjen egy androidos telefon, futtatja a kódot felhasználói beavatkozás nélkül.
Bár ez a hiba távolról is végrehajtható, érdemes megjegyezni, hogy egy potenciális támadónak viszonylag közel kell lennie ahhoz, hogy működjön. Wi-Fi, Bluetooth vagy NFC vezeték nélküli kapcsolaton keresztül használható.
A Google javítást küldött az Android 11, 12, 12L, 13 és a legújabb verziókhoz Android 14 keresztül Android nyílt forráskódú projekt. Feltehetően ez azt jelenti, hogy az adott verziójú Android telefonokat érinti a hiba. Mivel ez a probléma távoli kódfuttatást tesz lehetővé felhasználói beavatkozás nélkül, ez a biztonsági rések egyik legsúlyosabb típusa.
Sem a Google, sem az NVD nem határozza meg, hogy a hibát aktívan kihasználták-e a vadonban. Általában ezt akkor mondják ki, ha biztonsági hibát használtak ki, de nem tudjuk biztosan. A Google nem adott több kontextust a sérülékenységhez, ami várható is. A cég valószínűleg nem ad további információkat, amíg a problémát nem javítják, és az aktív eszközök többségét frissítik.
Mivel azonban a javítás az AOSP-n keresztül fog megjelenni, nem fog azonnal frissítést látni. A frissítést a következő napokban küldik ki, de ezt követően minden Android OEM-nek el kell küldenie a javítást. Előfordulhat, hogy a Pixel telefonok kapják meg elsőként a javítást, de az idővonal más márkák esetében eltérő lehet.
Figyelembe véve a probléma súlyosságát, ebben a hónapban figyeljen egy biztonsági frissítésre, ha Android okostelefont használ.