Ваш телефон Android може бути в зоні ризику. Дослідники безпеки виявили кілька серйозних недоліків, якими активно користуються хакери. Вам варто звернути на них увагу.
Нещодавно Google випустив термінове оновлення для Android, щоб усунути пару так званих вразливостей нульового дня. Це не просто звичайні баги – це дірки в безпеці, які раніше не були відомі розробникам і, що ще гірше, які вже були використані для потенційної компрометації Android-пристроїв в дикій природі. Сама компанія визнала, що ці недоліки «можуть бути використані в умовах обмеженої, цілеспрямованої експлуатації», що повинно викликати певні сумніви.
Одна з цих критичних вразливостей, відома як CVE-2024-53197, була виявлена завдяки співпраці Amnesty International та Бенуа Севенса з Google Threat Analysis Group. Саме ця група в Google відстежує кібератаки, які, як видається, підтримуються урядами. Результати дослідження Amnesty International показали, що компанія Cellebrite, відома тим, що продає правоохоронним органам інструменти для розблокування телефонів і криміналістичного аналізу, використовувала ланцюжок з трьох вразливостей нульового дня для отримання несанкціонованого доступу до пристроїв на базі Android.
Як повідомляється, ця вразливість була використана проти сербських студентів-активістів. Організація стверджує, що місцева влада використала цю вразливість для атаки на їхні пристрої. Це реальний приклад того, наскільки серйозними можуть бути уразливості нульового дня.
Про другу виправлену вразливість CVE-2024-53150 відомо не так багато. Її також виявив Бенуа Севенс (Benoît Sevens) з Google, і ця вразливість містилася в ядрі, яке є основою операційної системи Android. Вразливість такого рівня може дозволити зловмисникам отримати повний контроль над ураженим пристроєм.
Компанія Google поки що не надала додаткових коментарів щодо цих конкретних вразливостей. Amnesty International також не має жодної додаткової інформації, якою могла б поділитися на даний момент. Однак серйозність ситуації зрозуміла з рекомендацій Google щодо безпеки.
Найсерйознішою з цих проблем є критична вразливість у компоненті «Система», яка може призвести до віддаленого підвищення привілеїв без необхідності отримання додаткових привілеїв на виконання. Для експлуатації не потрібна взаємодія з користувачем.
Останнє речення викликає найбільше занепокоєння. Це означає, що зловмисник може скомпрометувати ваш пристрій, навіть якщо ви не перейдете за підозрілим посиланням або не встановите шкідливий додаток.
Компанія Google заявила, що випустить виправлення вихідного коду для цих двох критичних нульових днів протягом 48 годин з моменту отримання рекомендацій. Хоча це гарна новина, все одно потрібно буде пройти звичайну процедуру, щоб вони потрапили на ваш пристрій. Оскільки Android є операційною системою з відкритим вихідним кодом, виробники телефонів зобов’язані взяти ці виправлення та інтегрувати їх у власні оновлення програмного забезпечення для своїх конкретних пристроїв.
Google попередила своїх партнерів по Android про ці проблеми щонайменше за місяць до публічного розголошення. Це має дати виробникам час на підготовку та розгортання оновлень для своїх клієнтів. Однак, коли саме вони будуть доступні, ніхто не знає.
Отже, що ви повинні робити? Єдине, що ви можете зробити, – це переконатися, що ваш пристрій Android оновлений до останньої доступної версії програмного забезпечення, і встановити всі оновлення якомога швидше. Тим часом, завжди варто з обережністю ставитися до посилань, на які ви переходите, та додатків, які ви встановлюєте, навіть якщо в цьому конкретному випадку для більш серйозної вразливості не потрібна була взаємодія з користувачем.
