Kas jums jāzina
- Google atklāja drošības trūkumu operētājsistēmā Android, kas ļāva attālināti izpildīt kodu, ko tā raksturoja kā "kritisku drošības ievainojamību".
- Ievainojamība ir tā sauktā "nulles klikšķa" trūkums, kas nozīmē, ka tās izmantošanai nav nepieciešama mijiedarbība.
- Google nodrošina oriģinālo iekārtu ražotājiem labojumus, izmantojot Android atvērtā pirmkoda projektu, taču katra tālruņu ražotāja ziņā ir piegādāt viedtālruņu atjauninājumus.
Google atklāja "kritisku drošības ievainojamību" operētājsistēmā Android, kas ļauj attālam hakeram izpildīt kodu jūsu tālrunī, teikts decembrī. Android drošības biļetens. Uzņēmums jau ir nodrošinājis Android tālruņu ražotājus ar labojumu, taču katram OEM būs jāizsūta savs atjauninājums, lai novērstu drošības trūkumu.
Kļūda ir piešķirta CVE-2023-40088 iekš Nacionālā neaizsargātības datu bāze, kas sniedz vairāk informācijas. Saskaņā ar NVD ziņojumu problēma parādās, kad Android tālrunis mēģina palaist a callback_thread_event no com_android_bluetooth_btservice_AdapterService.cpp
. Šīs darbības laikā var tikt bojāta atmiņa ar ievainojamību bez lietošanas.Būtībā šī problēma izraisa piekļuvi Android tālruņiem com_android_bluetooth_btservice_AdapterService.cpp bez atļaujas pēc tam, kad sistēmas atmiņa jau ir atbrīvota. Tādējādi attālais hakeris varētu piekļūt Android tālrunis, izpilda kodu bez lietotāja darbībām.
Lai gan šo trūkumu var izpildīt attālināti, ir vērts atzīmēt, ka iespējamajam uzbrucējam ir jāatrodas salīdzinoši netālu no jums, lai tas darbotos. To var izmantot, izmantojot Wi-Fi, Bluetooth vai NFC bezvadu savienojumu.
Google ir nosūtījis labojumu Android versijām 11, 12, 12L, 13 un jaunākajām versijām Android 14 caur Android atvērtā pirmkoda projekts. Iespējams, tas nozīmē, ka šī kļūda ietekmē Android tālruņus šajās versijās. Tā kā šī problēma ļauj attālināti izpildīt kodu bez lietotāja iejaukšanās, tas ir viens no vissmagākajiem drošības ievainojamību veidiem.
Ne Google, ne NVD nenorāda, vai kļūda ir aktīvi izmantota savvaļā. Parasti tas tiek norādīts, ja tiek izmantots drošības trūkums, taču mēs to nezinām. Google nepievienoja vairāk konteksta ievainojamībai, kas ir sagaidāms. Uzņēmums, visticamāk, nesniegs plašāku informāciju, kamēr problēma nav novērsta un lielākā daļa aktīvo ierīču nav atjauninātas.
Tomēr, tā kā ielāps tiks izlaists, izmantojot AOSP, atjauninājums netiks parādīts nekavējoties. Atjauninājums tiks nosūtīts nākamo pāris dienu laikā, taču pēc tam katram Android OEM ir jāizsūta labojums. Pixel tālruņi varētu būt pirmie, kas saņems ielāpu, taču citiem zīmoliem laika grafiki var atšķirties.
Ņemot vērā šīs problēmas nopietnību, ja izmantojat Android viedtālruni, šomēnes pievērsiet uzmanību drošības atjauninājumam.