Kaj morate vedeti
- Google je v sistemu Android našel varnostno napako, ki je omogočala oddaljeno izvajanje kode, kar je opisal kot "kritično varnostno ranljivost".
- Ranljivost je tisto, kar je znano kot napaka "brez klika", kar pomeni, da ne zahteva nobene interakcije, da bi jo izkoristili.
- Google proizvajalcem originalne opreme ponuja popravek prek odprtokodnega projekta za Android, vendar bo vsak proizvajalec telefona moral posodobiti svoje pametne telefone.
Google je odkril "kritično varnostno ranljivost" v Androidu, ki omogoča oddaljenemu hekerju, da izvede kodo na vašem telefonu, je dejal decembra Varnostni bilten za Android. Podjetje je proizvajalcem telefonov Android že zagotovilo popravek, vendar bo moral vsak proizvajalec originalne opreme poslati svojo posodobitev, da bi popravil varnostno napako.
Napaka je bila dodeljena CVE-2023-40088 v Nacionalna zbirka podatkov o ranljivosti, ki ponuja več informacij. Glede na poročilo NVD se težava pojavi, ko telefon Android poskuša zagnati a callback_thread_event
od com_android_bluetooth_btservice_AdapterService.cpp. Med tem dejanjem je možno, da se pomnilnik poškoduje z ranljivostjo uporabe po brezplačni uporabi.V bistvu ta težava povzroči dostop telefonov Android com_android_bluetooth_btservice_AdapterService.cpp brez avtorizacije, potem ko je bil sistemski pomnilnik že sproščen. To bi lahko oddaljenemu hekerju omogočilo dostop do Android telefon, ki izvaja kodo brez kakršnega koli dejanja uporabnika.
Čeprav je to napako mogoče izvesti na daljavo, je treba omeniti, da mora biti morebitni napadalec relativno blizu vas, da deluje. Izkoriščamo ga lahko prek brezžične povezave Wi-Fi, Bluetooth ali NFC.
Google je poslal popravek za Android različice 11, 12, 12L, 13 in najnovejšo Android 14 skozi Odprtokodni projekt Android. Verjetno to pomeni, da napaka vpliva na telefone Android v teh različicah. Ker ta težava omogoča oddaljeno izvajanje kode brez potrebe po interakciji uporabnika, je to ena najresnejših vrst varnostnih ranljivosti.
Niti Google niti NVD ne navajata, ali je bila napaka aktivno izkoriščena v naravi. Običajno bi bilo to navedeno v primeru, da bi bila izkoriščena varnostna napaka, vendar ne vemo zagotovo. Google ni dodal nobenega konteksta za ranljivost, kar je pričakovano. Podjetje verjetno ne bo zagotovilo več informacij, dokler težava ne bo popravljena in večina aktivnih naprav posodobljena.
Ker pa bo popravek izdan prek AOSP, posodobitve ne boste videli takoj. Posodobitev bo poslana v naslednjih nekaj dneh, vendar mora vsak OEM za Android poslati popravek po tem. Telefoni Pixel bi lahko bili prvi, ki bodo prejeli popravek, vendar se lahko časovni okviri razlikujejo za druge znamke.
Glede na resnost te težave bodite pozorni na varnostno posodobitev ta mesec, če uporabljate pametni telefon Android.