Hva du trenger å vite
- Google fant en sikkerhetsfeil i Android som muliggjorde ekstern kjøring av kode, som den beskrev som en "kritisk sikkerhetssårbarhet."
- Sårbarheten er det som er kjent som en "nullklikk"-feil, noe som betyr at det ikke krever noen interaksjon for å bli utnyttet.
- Google gir OEM-er en løsning gjennom Android Open Source Project, men det vil være opp til hver telefonprodusent å sende oppdateringer til smarttelefonene sine.
Google oppdaget en "kritisk sikkerhetssårbarhet" i Android som gjør det mulig for en ekstern hacker å kjøre kode på telefonen din, het det i desember. Android sikkerhetsbulletin. Selskapet har allerede gitt Android-telefonprodusenter en løsning, men hver OEM må sende ut sin egen oppdatering for å rette opp sikkerhetsfeilen.
Feilen er tildelt CVE-2023-40088 i Nasjonal sårbarhetsdatabase, som gir mer informasjon. I følge NVD-rapporten dukker problemet opp når Android-telefonen prøver å kjøre en callback_thread_event av com_android_bluetooth_btservice_AdapterService.cpp
. Under denne handlingen er det mulig for minnet å bli ødelagt med en sårbarhet etter bruk.I hovedsak fører dette problemet til at Android-telefoner får tilgang com_android_bluetooth_btservice_AdapterService.cpp uten autorisasjon etter at systemets minne allerede er deallokert. Dette kan tillate en ekstern hacker å få tilgang til en Android-telefon, kjører kode uten at noen brukerhandling er nødvendig.
Selv om denne feilen kan utføres eksternt, er det verdt å merke seg at en potensiell angriper må være relativt nær deg for at det skal fungere. Den kan utnyttes via Wi-Fi, Bluetooth eller trådløs NFC-tilkobling.
Google har sendt en rettelse for Android-versjoner 11, 12, 12L, 13 og den nyeste Android 14 gjennom Android åpen kildekode-prosjekt. Antagelig betyr dette at Android-telefoner på disse versjonene er påvirket av feilen. Siden dette problemet tillater ekstern kjøring av kode uten behov for brukerinteraksjon, er det en av de mest alvorlige typene sikkerhetssårbarheter.
Verken Google eller NVD spesifiserer om feilen har blitt aktivt utnyttet i naturen. Vanligvis vil dette bli oppgitt i tilfelle en sikkerhetsfeil har blitt utnyttet, men vi vet ikke sikkert. Google la ikke til mer kontekst for sikkerhetsproblemet, noe som kan forventes. Selskapet vil sannsynligvis ikke gi mer informasjon før problemet er rettet og flertallet av aktive enheter er oppdatert.
Men siden oppdateringen vil bli utgitt gjennom AOSP, vil du ikke se en oppdatering umiddelbart. Oppdateringen vil bli sendt ut i løpet av de neste par dagene, men hver Android OEM må sende ut rettelsen etter det. Pixel-telefoner kan være de første som mottar oppdateringen, men tidslinjene kan variere for andre merker.
Med tanke på alvorlighetsgraden av dette problemet, hold øye med en sikkerhetsoppdatering denne måneden hvis du bruker en Android-smarttelefon.