Google je otkrio kritičnu sigurnosnu ranjivost na Androidu, a možda ćete morati čekati na zakrpu
Google je otkrio “kritičnu sigurnosnu ranjivost” u Androidu koja omogućava udaljenom hakeru izvršavanje koda na vašem telefonu, navodi se u decembarskom Android Security Bulletin-u.
Zakrpa stiže, ali možda ne tako brzo
Kompanija je već pružila proizvođačima Android telefona rešenje, ali svaki proizvođač će morati poslati svoju ažuriranje kako bi zakrpili ovaj sigurnosnu propust.
Bag je dobio oznaku CVE-2023-40088 u Nacionalnoj bazi podataka o ranjivostima, koja pruža više informacija. Prema izveštaju NVD-a, problem se javlja kada Android telefon pokušava da izvrši callback_thread_event u com_android_bluetooth_btservice_AdapterService.cpp. Tokom ovog postupka, postoji mogućnost da se memorija ošteti sa use-after-free ranjivošću.
Ovaj problem uzrokuje pristup Android telefona com_android_bluetooth_btservice_AdapterService.cpp bez dozvole nakon što je memorija sistema već oslobođena. Ovo bi moglo omogućiti udaljenom hakeru pristup Android telefonu i izvršavanje koda bez ikakve radnje korisnika.
Iako se ova ranjivost može iskoristiti udaljeno, vredno je napomenuti da potencijalni napadač mora relativno blizu vas da bi to funkcionisalo. Može se iskoristiti putem Wi-Fi, Bluetooth ili NFC bežične veze.
Google je poslao zakrpu za Android verzije 11, 12, 12L, 13 i najnoviji Android 14 putem Android Open Source Project-a. Pretpostavlja se da su telefoni sa ovim verzijama Androida pogođeni ovim bagom. Pošto ova ranjivost omogućava udaljeno izvršavanje koda bez potrebe za korisničkom interakcijom, ovo je jedna od najozbiljnijih vrsta sigurnosnih ranjivosti.
Ni Google ni NVD ne navode da li je bag aktuelno iskorišćen. Obično bi ovo bilo navedeno u slučaju da je sigurnosni propust iskorišćen, ali to nije poznato. Google nije dodao više konteksta o ovoj ranjivosti, što je očekivano. Kompanija će verovatno pružiti više informacija tek kada se problem zakrpi i većina aktivnih uređaja bude ažurirana.
Međutim, budući da će zakrpa biti objavljena putem AOSP-a, nećete odmah videti ažuriranje. Ažuriranje će biti poslato tokom narednih nekoliko dana, ali svaki Android OEM mora poslati svoju zakrpu nakon toga. Pixel telefoni bi mogli prvi primiti zakrpu, ali vremenski okviri se mogu razlikovati za druge brendove.
S obzirom na ozbiljnost ovog problema, obratite pažnju na sigurnosno ažuriranje ovog meseca ako koristite Android pametni telefon.
Izvor: Androidcentral