Čo potrebuješ vedieť
- Google našiel v systéme Android bezpečnostnú chybu, ktorá umožňovala vzdialené spustenie kódu, čo opísal ako „kritickú chybu zabezpečenia“.
- Zraniteľnosť je to, čo je známe ako chyba „nulového kliknutia“, čo znamená, že na jej zneužitie nie je potrebná žiadna interakcia.
- Google poskytuje výrobcom OEM opravu prostredníctvom projektu Android Open Source Project, ale bude na každom výrobcovi telefónov, aby dodal aktualizácie pre svoje smartfóny.
Google objavil „kritickú bezpečnostnú chybu“ v systéme Android, ktorá umožňuje vzdialenému hackerovi spustiť kód na vašom telefóne, uviedol v decembri Bulletin zabezpečenia systému Android. Spoločnosť už poskytla výrobcom telefónov s Androidom opravu, ale každý OEM bude musieť poslať vlastnú aktualizáciu na opravu bezpečnostnej chyby.
Chyba bola priradená CVE-2023-40088 v Národná databáza zraniteľností, ktorá poskytuje viac informácií. Podľa správy NVD sa problém objaví, keď sa telefón s Androidom pokúsi spustiť a callback_thread_event
z com_android_bluetooth_btservice_AdapterService.cpp. Počas tejto akcie je možné, že dôjde k poškodeniu pamäte s chybou zabezpečenia bez použitia.Tento problém v podstate spôsobuje prístup k telefónom s Androidom com_android_bluetooth_btservice_AdapterService.cpp bez autorizácie po uvoľnení pamäte systému. To by mohlo umožniť vzdialenému hackerovi prístup k Android telefón, spustenie kódu bez potreby akejkoľvek akcie používateľa.
Aj keď túto chybu možno vykonať na diaľku, stojí za zmienku, že prípadný útočník musí byť relatívne blízko vás, aby to fungovalo. Dá sa využiť prostredníctvom bezdrôtového pripojenia Wi-Fi, Bluetooth alebo NFC.
Google poslal opravu pre Android verzie 11, 12, 12L, 13 a najnovšie Android 14 cez Android Open Source projekt. Pravdepodobne to znamená, že telefóny s Androidom v týchto verziách sú ovplyvnené chybou. Keďže tento problém umožňuje vzdialené spustenie kódu bez potreby interakcie používateľa, ide o jeden z najzávažnejších typov bezpečnostných chýb.
Google ani NVD nešpecifikujú, či bola chyba aktívne využívaná vo voľnej prírode. Zvyčajne by to bolo uvedené v prípade, že bola zneužitá bezpečnostná chyba, ale nevieme to s istotou. Google nepridal žiadny ďalší kontext pre túto chybu zabezpečenia, čo sa dá očakávať. Spoločnosť pravdepodobne neposkytne viac informácií, kým nebude problém opravený a väčšina aktívnych zariadení nebude aktualizovaná.
Keďže však oprava bude vydaná prostredníctvom AOSP, aktualizácie sa nedočkáte okamžite. Aktualizácia bude odoslaná v priebehu niekoľkých nasledujúcich dní, ale potom musí každý OEM Android odoslať opravu. Opravu by mohli dostať telefóny Pixel ako prvé, no pri iných značkách sa časový harmonogram môže líšiť.
Vzhľadom na závažnosť tohto problému sledujte tento mesiac bezpečnostnú aktualizáciu, ak používate smartfón s Androidom.