Τι πρέπει να ξέρετε
- Η Google βρήκε ένα ελάττωμα ασφαλείας στο Android που επέτρεπε την απομακρυσμένη εκτέλεση κώδικα, την οποία περιέγραψε ως «κρίσιμη ευπάθεια ασφαλείας».
- Η ευπάθεια είναι αυτό που είναι γνωστό ως ελάττωμα "μηδενικού κλικ", που σημαίνει ότι δεν απαιτεί αλληλεπίδραση για να γίνει εκμετάλλευση.
- Η Google παρέχει στους OEM μια επιδιόρθωση μέσω του Android Open Source Project, αλλά θα εναπόκειται σε κάθε κατασκευαστή τηλεφώνων να στείλει ενημερώσεις στα smartphone του.
Η Google ανακάλυψε μια «κρίσιμη ευπάθεια ασφαλείας» στο Android που δίνει τη δυνατότητα σε έναν απομακρυσμένο χάκερ να εκτελέσει κώδικα στο τηλέφωνό σας, είπε τον Δεκέμβριο. Δελτίο ασφαλείας Android. Η εταιρεία έχει ήδη παράσχει μια επιδιόρθωση στους κατασκευαστές τηλεφώνων Android, αλλά κάθε OEM θα πρέπει να στείλει τη δική του ενημέρωση για να διορθώσει το ελάττωμα ασφαλείας.
Το σφάλμα έχει εκχωρηθεί CVE-2023-40088 στο Εθνική βάση δεδομένων ευπάθειας, το οποίο παρέχει περισσότερες πληροφορίες. Σύμφωνα με την αναφορά NVD, το πρόβλημα εμφανίζεται όταν το τηλέφωνο Android προσπαθεί να εκτελέσει ένα
callback_thread_event του com_android_bluetooth_btservice_AdapterService.cpp. Κατά τη διάρκεια αυτής της ενέργειας, είναι πιθανό η μνήμη να καταστραφεί με μια ευπάθεια χωρίς χρήση.Ουσιαστικά, αυτό το πρόβλημα προκαλεί πρόσβαση σε τηλέφωνα Android com_android_bluetooth_btservice_AdapterService.cpp χωρίς εξουσιοδότηση αφού έχει ήδη εκχωρηθεί η μνήμη του συστήματος. Αυτό θα μπορούσε να επιτρέψει σε έναν απομακρυσμένο χάκερ να έχει πρόσβαση σε ένα Τηλέφωνο Android, εκτέλεση κώδικα χωρίς να απαιτείται καμία ενέργεια χρήστη.
Αν και αυτό το ελάττωμα μπορεί να εκτελεστεί από απόσταση, αξίζει να σημειωθεί ότι ένας επίδοξος εισβολέας πρέπει να είναι σχετικά κοντά σας για να λειτουργήσει. Μπορεί να γίνει εκμετάλλευση μέσω Wi-Fi, Bluetooth ή ασύρματης σύνδεσης NFC.
Η Google έστειλε μια επιδιόρθωση για τις εκδόσεις Android 11, 12, 12L, 13 και την πιο πρόσφατη Android 14 μέσα από Έργο ανοιχτού κώδικα Android. Πιθανώς, αυτό σημαίνει ότι τα τηλέφωνα Android σε αυτές τις εκδόσεις επηρεάζονται από το σφάλμα. Δεδομένου ότι αυτό το ζήτημα επιτρέπει την απομακρυσμένη εκτέλεση κώδικα χωρίς να απαιτείται αλληλεπίδραση με τον χρήστη, είναι ένας από τους πιο σοβαρούς τύπους ευπάθειας ασφαλείας.
Ούτε η Google ούτε το NVD καθορίζουν εάν το σφάλμα έχει γίνει ενεργή εκμετάλλευση στη φύση. Συνήθως, αυτό θα δηλωθεί σε περίπτωση που γίνει εκμετάλλευση ενός ελαττώματος ασφαλείας, αλλά δεν γνωρίζουμε με βεβαιότητα. Η Google δεν πρόσθεσε άλλο πλαίσιο για την ευπάθεια, κάτι που είναι αναμενόμενο. Η εταιρεία πιθανότατα δεν θα παράσχει περισσότερες πληροφορίες μέχρι να επιδιορθωθεί το ζήτημα και να ενημερωθεί η πλειονότητα των ενεργών συσκευών.
Ωστόσο, δεδομένου ότι η ενημερωμένη έκδοση κώδικα θα κυκλοφορήσει μέσω του AOSP, δεν θα δείτε μια ενημέρωση αμέσως. Η ενημέρωση θα σταλεί τις επόμενες δύο ημέρες, αλλά κάθε OEM Android πρέπει να στείλει την επιδιόρθωση μετά από αυτό. Τα τηλέφωνα Pixel θα μπορούσαν να είναι τα πρώτα που θα λάβουν την ενημερωμένη έκδοση κώδικα, αλλά τα χρονοδιαγράμματα μπορεί να διαφέρουν για άλλες μάρκες.
Λαμβάνοντας υπόψη τη σοβαρότητα αυτού του ζητήματος, προσέξτε για μια ενημέρωση ασφαλείας αυτόν τον μήνα, εάν χρησιμοποιείτε smartphone Android.