Mitä sinun tarvitsee tietää
- Google löysi Androidista tietoturvavirheen, joka mahdollisti koodin etäsuorittamisen, jota se kuvaili "kriittiseksi tietoturvahaavoittuvuudeksi".
- Haavoittuvuus on niin kutsuttu "nollanapsautus"-virhe, mikä tarkoittaa, että sen hyödyntäminen ei vaadi vuorovaikutusta.
- Google tarjoaa OEM-valmistajille korjauksen Android Open Source Projectin kautta, mutta jokaisen puhelimen valmistajan tehtävänä on toimittaa päivitykset älypuhelimiinsa.
Google löysi Androidista "kriittisen tietoturvahaavoittuvuuden", jonka avulla etähakkeri voi suorittaa koodia puhelimessasi, se sanoi joulukuussa. Android-tietoturvatiedote. Yritys on jo toimittanut Android-puhelinvalmistajille korjauksen, mutta jokaisen OEM: n on lähetettävä oma päivitys korjatakseen tietoturvavirheen.
Virhe on määritetty CVE-2023-40088 in Kansallinen haavoittuvuustietokanta, joka tarjoaa lisätietoja. NVD: n raportin mukaan ongelma ilmenee, kun Android-puhelin yrittää käyttää a callback_thread_event / com_android_bluetooth_btservice_AdapterService.cpp
. Tämän toiminnon aikana on mahdollista, että muisti vioittuu use-after-free-haavoittuvuuden vuoksi.Pohjimmiltaan tämä ongelma aiheuttaa Android-puhelimien pääsyn com_android_bluetooth_btservice_AdapterService.cpp ilman lupaa, kun järjestelmän muisti on jo vapautettu. Näin etähakkeri voi päästä käsiksi Android-puhelin, suorittaa koodin ilman käyttäjän toimia.
Vaikka tämä virhe voidaan suorittaa etänä, on syytä huomata, että mahdollisen hyökkääjän on oltava suhteellisen lähellä sinua, jotta se toimisi. Sitä voidaan hyödyntää langattoman Wi-Fi-, Bluetooth- tai NFC-yhteyden kautta.
Google on lähettänyt korjauksen Android-versioille 11, 12, 12L, 13 ja uusimmille Android 14 läpi Android avoimen lähdekoodin projekti. Oletettavasti tämä tarkoittaa, että vika vaikuttaa näiden versioiden Android-puhelimiin. Koska tämä ongelma mahdollistaa koodin etäsuorittamisen ilman käyttäjän toimia, se on yksi vakavimmista tietoturva-aukkojen tyypeistä.
Google tai NVD eivät täsmennä, onko vikaa hyödynnetty aktiivisesti luonnossa. Yleensä tämä mainitaan, jos tietoturvavirhettä on käytetty hyväksi, mutta emme tiedä varmasti. Google ei lisännyt haavoittuvuuden kontekstia, mikä on odotettavissa. Yritys ei todennäköisesti anna lisätietoja ennen kuin ongelma on korjattu ja suurin osa aktiivisista laitteista on päivitetty.
Koska korjaustiedosto julkaistaan kuitenkin AOSP: n kautta, et näe päivitystä heti. Päivitys lähetetään muutaman seuraavan päivän aikana, mutta jokaisen Android OEM: n on lähetettävä korjaus sen jälkeen. Pixel-puhelimet voivat saada korjaustiedoston ensimmäisinä, mutta aikajanat voivat vaihdella muiden merkkien osalta.
Tämän ongelman vakavuuden vuoksi pidä silmällä tietoturvapäivitystä tässä kuussa, jos käytät Android-älypuhelinta.