Mida peate teadma
- Google leidis Androidis turvavea, mis võimaldas koodi kaugkäivitamist, mida ta kirjeldas kui "kriitilist turvaauku".
- See haavatavus on nn nullklõpsu viga, mis tähendab, et selle ärakasutamine ei nõua suhtlust.
- Google pakub originaalseadmete tootjatele lahendust Androidi avatud lähtekoodiga projekti kaudu, kuid iga telefonitootja peab oma nutitelefonidele värskendusi tarnima.
Google avastas Androidis "kriitilise turvaauku", mis võimaldab kaughäkkeril teie telefonis koodi käivitada, öeldi detsembris. Androidi turvabülletään. Ettevõte on Android-telefonide tootjatele juba paranduse pakkunud, kuid iga OEM peab turvavea parandamiseks välja saatma oma värskenduse.
Viga on määratud CVE-2023-40088 aastal Riiklik haavatavuse andmebaas, mis annab rohkem teavet. NVD aruande kohaselt ilmneb probleem siis, kui Android-telefon proovib käivitada a callback_thread_event kohta com_android_bluetooth_btservice_AdapterService.cpp. Selle toimingu ajal on võimalik, et mälu rikutakse pärast tasuta kasutamise haavatavust.
Põhimõtteliselt põhjustab see probleem Android-telefonidele juurdepääsu com_android_bluetooth_btservice_AdapterService.cpp ilma loata pärast seda, kui süsteemi mälu on juba vabastatud. See võib võimaldada kaughäkkeril juurdepääsu Android telefon, käivitab koodi ilma kasutajapoolsete toiminguteta.
Kuigi seda viga saab teostada kaugjuhtimisega, tasub märkida, et võimalik ründaja peab selle toimimiseks olema teie lähedal. Seda saab kasutada Wi-Fi, Bluetoothi või NFC juhtmevaba ühenduse kaudu.
Google on saatnud paranduse Androidi versioonidele 11, 12, 12L, 13 ja uusimatele Android 14 kaudu Android avatud lähtekoodiga projekt. Eeldatavasti tähendab see, et viga mõjutab nende versioonide Android-telefone. Kuna see probleem võimaldab koodi kaugkäivitamist ilma kasutaja sekkumiseta, on see üks tõsisemaid turvaaukude tüüpe.
Ei Google ega NVD ei täpsusta, kas viga on looduses aktiivselt ära kasutatud. Tavaliselt öeldakse see siis, kui turvaviga on ära kasutatud, kuid me ei tea kindlalt. Google ei lisanud haavatavusele rohkem konteksti, mis on ootuspärane. Tõenäoliselt ei anna ettevõte rohkem teavet enne, kui probleem on parandatud ja enamik aktiivseid seadmeid on värskendatud.
Kuna aga plaaster avaldatakse AOSP kaudu, ei näe te värskendust kohe. Värskendus saadetakse välja järgmise paari päeva jooksul, kuid iga Androidi OEM peab pärast seda paranduse välja saatma. Pixeli telefonid võivad olla esimesed, mis plaastri kätte saavad, kuid ajaskaala võivad teiste kaubamärkide puhul erineda.
Arvestades selle probleemi tõsidust, hoidke Android-nutitelefoni kasutamisel sel kuul silma peal turvavärskendusel.