Hvad du behøver at vide
- Google fandt en sikkerhedsfejl i Android, der tillod fjernudførelse af kode, som den beskrev som en "kritisk sikkerhedssårbarhed."
- Sårbarheden er det, der er kendt som en "nul-klik"-fejl, hvilket betyder, at den ikke kræver nogen interaktion for at blive udnyttet.
- Google giver OEM'er en rettelse gennem Android Open Source Project, men det vil være op til hver telefonproducent at sende opdateringer til deres smartphones.
Google opdagede en "kritisk sikkerhedssårbarhed" i Android, der gør det muligt for en ekstern hacker at udføre kode på din telefon, lød det i december. Android sikkerhedsbulletin. Virksomheden har allerede givet Android-telefonproducenter en rettelse, men hver OEM bliver nødt til at udsende sin egen opdatering for at rette sikkerhedsfejlen.
Fejlen er blevet tildelt CVE-2023-40088 i National sårbarhedsdatabase, som giver flere oplysninger. Ifølge NVD-rapporten dukker problemet op, når Android-telefonen forsøger at køre en tilbagekaldstrådshændelse af com_android_bluetooth_btservice_AdapterService.cpp
. Under denne handling er det muligt, at hukommelsen bliver beskadiget med en sårbarhed uden brug.I det væsentlige får dette problem Android-telefoner til at få adgang com_android_bluetooth_btservice_AdapterService.cpp uden autorisation, efter at systemets hukommelse allerede er blevet deallokeret. Dette kunne give en fjernhacker adgang til en Android telefon, eksekverer kode uden behov for brugerhandling.
Selvom denne fejl kan udføres eksternt, er det værd at bemærke, at en potentiel angriber skal være relativt tæt på dig, for at det kan fungere. Det kan udnyttes via Wi-Fi, Bluetooth eller NFC trådløs forbindelse.
Google har sendt en rettelse til Android-versionerne 11, 12, 12L, 13 og den seneste Android 14 gennem Android Open Source-projekt. Det betyder formentlig, at Android-telefoner på disse versioner er påvirket af fejlen. Da dette problem giver mulighed for fjernudførelse af kode uden behov for brugerinteraktion, er det en af de mest alvorlige typer sikkerhedssårbarheder.
Hverken Google eller NVD specificerer, om fejlen er blevet aktivt udnyttet i naturen. Normalt vil dette blive angivet i tilfælde af, at en sikkerhedsfejl er blevet udnyttet, men vi ved det ikke med sikkerhed. Google tilføjede ikke mere kontekst til sårbarheden, hvilket kan forventes. Virksomheden vil sandsynligvis ikke give flere oplysninger, før problemet er blevet rettet, og størstedelen af aktive enheder er blevet opdateret.
Men da patchen vil blive frigivet gennem AOSP, vil du ikke se en opdatering med det samme. Opdateringen vil blive sendt ud i løbet af de næste par dage, men hver Android OEM skal sende rettelsen ud efter det. Pixel-telefoner kan være de første til at modtage patchen, men tidslinjerne kan variere for andre mærker.
I betragtning af hvor alvorlig dette problem er, skal du holde øje med en sikkerhedsopdatering i denne måned, hvis du bruger en Android-smartphone.