Co musisz wiedzieć
- Google znalazło lukę w zabezpieczeniach Androida, która umożliwiała zdalne wykonanie kodu, i określiła ją jako „krytyczną lukę w zabezpieczeniach”.
- Luka ta nazywana jest luką „zero kliknięć”, co oznacza, że wykorzystanie tej luki nie wymaga żadnej interakcji.
- Google zapewnia producentom OEM poprawki w ramach projektu Android Open Source Project, ale dostarczanie aktualizacji do swoich smartfonów zależy od każdego producenta telefonów.
W grudniowym raporcie Google odkryło „krytyczną lukę w zabezpieczeniach” systemu Android, która umożliwia zdalnemu hakerowi wykonanie kodu na Twoim telefonie. Biuletyn dotyczący bezpieczeństwa Androida. Firma zapewniła już poprawkę producentom telefonów z Androidem, ale każdy producent OEM będzie musiał wysłać własną aktualizację, aby załatać lukę w zabezpieczeniach.
Błąd został przypisany CVE-2023-40088 w Krajowa baza danych o podatnościach, który zawiera więcej informacji. Według raportu NVD problem pojawia się, gdy telefon z Androidem próbuje uruchomić aplikację
zdarzenie_wywołania zwrotnego z com_android_bluetooth_btservice_AdapterService.cpp. Podczas tej czynności może dojść do uszkodzenia pamięci z powodu luki w zabezpieczeniach umożliwiającej użycie po zwolnieniu.Zasadniczo ten problem powoduje dostęp do telefonów z Androidem com_android_bluetooth_btservice_AdapterService.cpp bez autoryzacji po zwolnieniu pamięci systemu. Może to umożliwić zdalnemu hakerowi dostęp do pliku telefon z systemem Android, wykonanie kodu bez konieczności podejmowania jakichkolwiek działań przez użytkownika.
Chociaż tę wadę można wykonać zdalnie, warto zauważyć, że potencjalny atakujący musi znajdować się stosunkowo blisko ciebie, aby zadziałał. Można z niego korzystać poprzez połączenie bezprzewodowe Wi-Fi, Bluetooth lub NFC.
Google wysłał poprawkę dla wersji Androida 11, 12, 12L, 13 i najnowszych Androida 14 przez Projekt Open Source dla Androida. Prawdopodobnie oznacza to, że błąd dotyczy telefonów z Androidem w tych wersjach. Ponieważ ten problem umożliwia zdalne wykonanie kodu bez konieczności interakcji z użytkownikiem, jest to jeden z najpoważniejszych typów luk w zabezpieczeniach.
Ani Google, ani NVD nie określają, czy błąd był aktywnie wykorzystywany w środowisku naturalnym. Zwykle jest to stwierdzane w przypadku wykorzystania luki w zabezpieczeniach, ale nie mamy pewności. Google nie dodało więcej kontekstu dla tej luki, czego można było się spodziewać. Firma prawdopodobnie nie udostępni więcej informacji, dopóki problem nie zostanie naprawiony i większość aktywnych urządzeń nie zostanie zaktualizowana.
Ponieważ jednak łatka zostanie opublikowana za pośrednictwem AOSP, aktualizacja nie zostanie wyświetlona natychmiast. Aktualizacja zostanie wysłana w ciągu najbliższych kilku dni, ale każdy producent OEM systemu Android musi później wysłać poprawkę. Telefony Pixel mogą jako pierwsze otrzymać łatkę, ale harmonogramy mogą się różnić w przypadku innych marek.
Biorąc pod uwagę powagę tego problemu, jeśli korzystasz ze smartfona z Androidem, wypatruj aktualizacji zabezpieczeń w tym miesiącu.