Оно што треба да знате
- Гоогле је пронашао безбедносни пропуст у Андроид-у који је омогућавао даљинско извршавање кода, што је описао као „критичну безбедносну рањивост“.
- Рањивост је оно што је познато као мана „нула кликова“, што значи да не захтева никакву интеракцију да би се искористила.
- Гоогле обезбеђује ОЕМ произвођачима решење кроз Андроид Опен Соурце Пројецт, али ће сваки произвођач телефона морати да испоручи ажурирања на своје паметне телефоне.
Гоогле је открио „критичну безбедносну рањивост“ у Андроиду која омогућава удаљеном хакеру да изврши код на вашем телефону, речено је у децембру. Андроид безбедносни билтен. Компанија је произвођачима Андроид телефона већ обезбедила исправку, али сваки ОЕМ ће морати да пошаље сопствену надоградњу како би закрпио безбедносни пропуст.
Грешка је додељена ЦВЕ-2023-40088 у Национална база података о рањивости, који пружа више информација. Према извештају НВД-а, проблем се појављује када Андроид телефон покуша да покрене а цаллбацк_тхреад_евент оф
цом_андроид_блуетоотх_бтсервице_АдаптерСервице.цпп. Током ове радње, могуће је да меморија буде оштећена рањивости без употребе.У суштини, овај проблем узрокује приступ Андроид телефонима цом_андроид_блуетоотх_бтсервице_АдаптерСервице.цпп без ауторизације након што је системска меморија већ ослобођена. Ово би могло омогућити удаљеном хакеру да приступи Андроид телефон, извршавање кода без потребе за радњом корисника.
Иако се ова грешка може извршити на даљину, вреди напоменути да потенцијални нападач мора бити релативно близу вас да би функционисао. Може се користити путем Ви-Фи, Блуетоотх или НФЦ бежичне везе.
Гоогле је послао исправку за Андроид верзије 11, 12, 12Л, 13 и најновије Андроид 14 кроз Андроид Опен Соурце Пројецт. Вероватно то значи да су Андроид телефони на тим верзијама погођени грешком. Пошто овај проблем омогућава даљинско извршавање кода без потребе за интеракцијом корисника, то је један од најтежих типова безбедносних пропуста.
Ни Гоогле ни НВД не наводе да ли је грешка активно искоришћавана у дивљини. Обично би то било наведено у случају да је искоришћена безбедносна грешка, али не знамо са сигурношћу. Гоогле није додао више контекста за рањивост, што је и очекивано. Компанија вероватно неће пружити више информација док се проблем не поправи и док већина активних уређаја не буде ажурирана.
Међутим, пошто ће закрпа бити објављена преко АОСП-а, нећете одмах видети ажурирање. Ажурирање ће бити послато у наредних неколико дана, али сваки Андроид ОЕМ мора да пошаље исправку након тога. Пикел телефони би могли бити први који ће добити закрпу, али временски оквири могу варирати за друге брендове.
С обзиром на озбиљност овог проблема, обратите пажњу на безбедносно ажурирање овог месеца ако користите Андроид паметни телефон.