O que você precisa saber
- O Google encontrou uma falha de segurança no Android que permitia a execução remota de código, que descreveu como uma “vulnerabilidade crítica de segurança”.
- A vulnerabilidade é conhecida como falha de “clique zero”, o que significa que não requer interação para ser explorada.
- O Google está fornecendo uma solução aos OEMs por meio do Android Open Source Project, mas caberá a cada fabricante de telefone enviar atualizações para seus smartphones.
O Google descobriu uma “vulnerabilidade crítica de segurança” no Android que possibilita que um hacker remoto execute código em seu telefone, disse em dezembro. Boletim de segurança do Android. A empresa já forneceu uma solução aos fabricantes de telefones Android, mas cada OEM terá que enviar sua própria atualização para corrigir a falha de segurança.
O bug foi atribuído CVE-2023-40088 no Banco de dados nacional de vulnerabilidades, que fornece mais informações. De acordo com o relatório do NVD, o problema surge quando o telefone Android tenta executar um
callback_thread_event de com_android_bluetooth_btservice_AdapterService.cpp. Durante esta ação, é possível que a memória seja corrompida com uma vulnerabilidade de uso após liberação.Essencialmente, esse problema faz com que os telefones Android acessem com_android_bluetooth_btservice_AdapterService.cpp sem autorização após a memória do sistema já ter sido desalocada. Isso poderia permitir que um hacker remoto acessasse um telefone Android, executando código sem a necessidade de qualquer ação do usuário.
Embora essa falha possa ser executada remotamente, é importante notar que um possível invasor precisa estar relativamente perto de você para que funcione. Ele pode ser explorado via conexão sem fio Wi-Fi, Bluetooth ou NFC.
O Google enviou uma correção para as versões 11, 12, 12L, 13 e mais recentes do Android Andróide 14 através de Projeto de código aberto Android. Presumivelmente, isso significa que os telefones Android nessas versões são afetados pelo bug. Como esse problema permite a execução remota de código sem a necessidade de interação do usuário, é um dos tipos mais graves de vulnerabilidade de segurança.
Nem o Google nem o NVD especificam se o bug foi explorado ativamente. Normalmente, isso seria declarado caso uma falha de segurança fosse explorada, mas não temos certeza. O Google não adicionou mais contexto para a vulnerabilidade, o que era de se esperar. A empresa provavelmente não fornecerá mais informações até que o problema seja corrigido e a maioria dos dispositivos ativos seja atualizada.
No entanto, como o patch será lançado através do AOSP, você não verá uma atualização imediatamente. A atualização será enviada nos próximos dias, mas cada OEM do Android precisará enviar a correção depois disso. Os telefones Pixel podem ser os primeiros a receber o patch, mas os prazos podem variar para outras marcas.
Considerando a gravidade do problema, fique atento a uma atualização de segurança este mês se você usa um smartphone Android.