Что тебе нужно знать
- Google обнаружил уязвимость в безопасности Android, которая позволяла удаленно выполнять код, и назвал ее «критической уязвимостью безопасности».
- Эта уязвимость известна как «нулевой щелчок», то есть для ее использования не требуется никакого взаимодействия.
- Google предоставляет OEM-производителям исправление через проект Android с открытым исходным кодом, но каждый производитель телефонов должен будет поставлять обновления на свои смартфоны.
Google обнаружил «критическую уязвимость безопасности» в Android, которая позволяет удаленному хакеру выполнить код на вашем телефоне, сообщила компания в декабре прошлого года. Бюллетень по безопасности Android. Компания уже предоставила производителям телефонов Android исправление, но каждому OEM-производителю придется выслать собственное обновление для исправления уязвимости.
Ошибка была назначена CVE-2023-40088 в Национальная база данных уязвимостей, который предоставляет дополнительную информацию. Согласно отчету NVD, проблема возникает, когда телефон Android пытается запустить
callback_thread_event из com_android_bluetooth_btservice_AdapterService.cpp. Во время этого действия память может быть повреждена из-за уязвимости использования после освобождения.По сути, эта проблема приводит к тому, что телефоны Android получают доступ com_android_bluetooth_btservice_AdapterService.cpp без авторизации после того, как память системы уже была освобождена. Это может позволить удаленному хакеру получить доступ к Телефон на Андроиде, выполняя код без каких-либо действий пользователя.
Хотя эту уязвимость можно реализовать удаленно, стоит отметить, что для того, чтобы потенциальный злоумышленник сработал, он должен находиться относительно близко к вам. Его можно использовать через беспроводное соединение Wi-Fi, Bluetooth или NFC.
Google прислала исправление для версий Android 11, 12, 12L, 13 и последних Андроид 14 сквозь Проект Android с открытым исходным кодом. Предположительно, это означает, что на телефонах Android этих версий обнаружена ошибка. Поскольку эта проблема позволяет удаленно выполнять код без вмешательства пользователя, это один из наиболее серьезных типов уязвимостей безопасности.
Ни Google, ни NVD не уточняют, активно ли эксплуатировалась эта ошибка. Обычно об этом говорится в случае использования уязвимости безопасности, но мы не знаем наверняка. Google не добавил больше контекста для уязвимости, чего и следовало ожидать. Компания, скорее всего, не предоставит дополнительную информацию до тех пор, пока проблема не будет устранена и большинство активных устройств не будут обновлены.
Однако, поскольку патч будет выпущен через AOSP, вы не увидите обновление сразу. Обновление будет разослано в течение следующих нескольких дней, но после этого каждый OEM-производитель Android должен будет выслать исправление. Телефоны Pixel могут быть первыми, кто получит исправление, но для других брендов сроки могут отличаться.
Учитывая серьезность этой проблемы, следите за обновлением безопасности в этом месяце, если вы используете смартфон Android.