Apa yang perlu Anda ketahui
- Google menemukan kelemahan keamanan di Android yang memungkinkan eksekusi kode jarak jauh, yang digambarkan sebagai "kerentanan keamanan kritis".
- Kerentanan ini dikenal sebagai kelemahan "zero-click", yang berarti tidak memerlukan interaksi untuk dapat dieksploitasi.
- Google menyediakan perbaikan kepada OEM melalui Proyek Sumber Terbuka Android, namun masing-masing pembuat ponsel berhak mengirimkan pembaruan ke ponsel cerdas mereka.
Google menemukan "kerentanan keamanan kritis" di Android yang memungkinkan peretas jarak jauh mengeksekusi kode di ponsel Anda, katanya pada bulan Desember. Buletin Keamanan Android. Perusahaan telah memberikan perbaikan kepada produsen ponsel Android, tetapi setiap OEM harus mengirimkan pembaruannya sendiri untuk menambal kelemahan keamanan.
Bug telah ditetapkan CVE-2023-40088 dalam Basis Data Kerentanan Nasional, yang memberikan informasi lebih lanjut. Menurut laporan NVD, masalah ini muncul ketika ponsel Android mencoba menjalankan a
callback_thread_event dari com_android_bluetooth_btservice_AdapterService.cpp. Selama tindakan ini, memori mungkin rusak dengan kerentanan penggunaan setelah bebas.Pada dasarnya, masalah ini menyebabkan ponsel Android tidak bisa mengakses com_android_bluetooth_btservice_AdapterService.cpp tanpa otorisasi setelah memori sistem telah dibatalkan alokasinya. Hal ini memungkinkan peretas jarak jauh untuk mengakses telepon Android, mengeksekusi kode tanpa memerlukan tindakan pengguna apa pun.
Meskipun kelemahan ini dapat dieksekusi dari jarak jauh, perlu diperhatikan bahwa calon penyerang harus berada relatif dekat dengan Anda agar kelemahan ini dapat berfungsi. Ini dapat dimanfaatkan melalui koneksi nirkabel Wi-Fi, Bluetooth, atau NFC.
Google telah mengirimkan perbaikan untuk Android versi 11, 12, 12L, 13, dan terbaru Android 14 melalui Proyek Sumber Terbuka Android. Agaknya, ini berarti ponsel Android pada versi tersebut terpengaruh oleh bug tersebut. Karena masalah ini memungkinkan eksekusi kode jarak jauh tanpa memerlukan interaksi pengguna, ini adalah salah satu jenis kerentanan keamanan yang paling parah.
Baik Google maupun NVD tidak merinci apakah bug tersebut telah dieksploitasi secara aktif. Biasanya, hal ini akan dinyatakan jika kelemahan keamanan telah dieksploitasi, namun kami tidak mengetahui secara pasti. Google tidak menambahkan konteks apa pun lagi untuk kerentanan tersebut, seperti yang diharapkan. Perusahaan kemungkinan tidak akan memberikan informasi lebih lanjut sampai masalah tersebut telah diperbaiki dan sebagian besar perangkat aktif telah diperbarui.
Namun, karena patch akan dirilis melalui AOSP, Anda tidak akan langsung melihat pembaruan. Pembaruan akan dikirimkan dalam beberapa hari ke depan, tetapi setiap OEM Android harus mengirimkan perbaikan setelah itu. Ponsel Pixel mungkin menjadi yang pertama menerima patch tersebut, tetapi jangka waktunya dapat bervariasi untuk merek lain.
Mengingat parahnya masalah ini, nantikan pembaruan keamanan bulan ini jika Anda menggunakan ponsel pintar Android.