Što trebaš znati
- Google je pronašao sigurnosni propust u Androidu koji je omogućio daljinsko izvršavanje koda, što je opisao kao "kritičnu sigurnosnu ranjivost".
- Ranjivost je ono što je poznato kao greška "nula klika", što znači da ne zahtijeva interakciju da bi se iskoristila.
- Google proizvođačima originalne opreme nudi popravak kroz Android Open Source Project, ali svaki proizvođač telefona mora isporučiti ažuriranja na svoje pametne telefone.
Google je otkrio "kritičnu sigurnosnu ranjivost" u Androidu koja omogućuje daljinskom hakeru da izvrši kod na vašem telefonu, rečeno je u prosincu Androidov sigurnosni bilten. Tvrtka je proizvođačima Android telefona već dostavila popravak, ali svaki će OEM morati poslati svoje ažuriranje kako bi zakrpao sigurnosni propust.
Bug je dodijeljen CVE-2023-40088 u Nacionalna baza podataka o ranjivosti, koji pruža više informacija. Prema izvješću NVD-a, problem se pojavljuje kada Android telefon pokuša pokrenuti a poziv_nit_događaj od com_android_bluetooth_btservice_AdapterService.cpp
. Tijekom ove radnje moguće je da se memorija ošteti ranjivošću korištenja nakon oslobađanja.U biti, ovaj problem uzrokuje pristup Android telefonima com_android_bluetooth_btservice_AdapterService.cpp bez autorizacije nakon što je memorija sustava već delocirana. To bi udaljenom hakeru moglo omogućiti pristup Android telefon, izvršavajući kod bez potrebe za ikakvim radnjama korisnika.
Iako se ova greška može izvršiti na daljinu, vrijedno je napomenuti da potencijalni napadač mora biti relativno blizu vas da bi djelovao. Može se koristiti putem Wi-Fi, Bluetooth ili NFC bežične veze.
Google je poslao popravak za Android verzije 11, 12, 12L, 13 i najnoviju Android 14 kroz Projekt otvorenog koda za Android. Vjerojatno to znači da su Android telefoni na tim verzijama zahvaćeni greškom. Budući da ovaj problem omogućuje daljinsko izvršavanje koda bez potrebe za interakcijom korisnika, to je jedna od najtežih vrsta sigurnosnih ranjivosti.
Ni Google ni NVD ne navode je li bug aktivno iskorištavan u prirodi. Obično bi to bilo navedeno u slučaju da je iskorišten sigurnosni propust, ali ne znamo sa sigurnošću. Google nije dodao više konteksta za ranjivost, što je i očekivano. Tvrtka vjerojatno neće dati više informacija dok se problem ne riješi i dok se većina aktivnih uređaja ne ažurira.
Međutim, budući da će zakrpa biti objavljena putem AOSP-a, ažuriranje nećete vidjeti odmah. Ažuriranje će biti poslano tijekom sljedećih nekoliko dana, ali svaki Android OEM mora poslati popravak nakon toga. Pixel telefoni mogli bi biti prvi koji će primiti zakrpu, ali rokovi mogu varirati za druge marke.
Uzimajući u obzir ozbiljnost ovog problema, ovaj mjesec pripazite na sigurnosno ažuriranje ako koristite Android pametni telefon.