Įsilaužėliams uždaryta dar viena landa
„Google“ išleido balandžio mėnesio saugos naujinį, skirtą „Android“ operacinei sistemai, iš viso ištaisydama 62 pažeidžiamumus, įskaitant du kritinius nulinės dienos (0-day) pažeidžiamumus, kuriuos, kaip pranešama, užpuolikai aktyviai išnaudojo tikslinėse atakose. Apie tai informuoja „SecurityLab“.[ref lt-]
Vienas iš pagrindinių pažeidžiamumų, kuriam priskirtas aukštas pavojingumo lygis (CVE-2024-53197), buvo privilegijų eskalavimo problema USB garso tvarkyklės operacinėje sistemoje, skirtoje ALSA įrenginiams Linux branduolyje. Pasak tyrėjų, šis saugumo pažeidimas buvo dalis sudėtingos išnaudojimo (Exploit yra metodas arba kodo dalis, kuri naudojasi programinės įrangos, programų, tinklų, operacinių sistemų ar aparatinės įrangos pažeidžiamumais) grandinės, kurią sukūrė Izraelio bendrovė „Cellebrite“ ir kurią Serbijos valdžios institucijos naudojo, kad gautų prieigą prie užblokuotų „Android“ įrenginių, konfiskuotų atliekant tyrimus.[1]
Problemų būta ir daugiau
Anksčiau buvo nustatyti ir pašalinti kiti tos pačios išnaudojimo grandinės pažeidžiamumai: USB Video Class (CVE-2024-53104), kurį panaikino vasario mėnesio atnaujinimas, ir HID įvesties įrenginiuose (CVE-2024-50302), kurie buvo sutvarkyti kovo mėnesį. Išnaudojimo grandinę leido atrasti „Amnesty International“ saugumo laboratorijos, kuri analizavo Serbijos policijos atrakintų prietaisų žurnalus, darbas.
„Google“ teigė, kad iš anksto žinojo apie šiuos pažeidžiamumus ir dar sausį pateikė įrenginių gamintojams reikalingus programinius pataisymus. Pasak bendrovės atstovo spaudai, atitinkami atnaujinimai OEM partneriams buvo išsiųsti sausio 18 d. kaip specialaus pranešimo dalis.
Antrasis nulinės dienos pažeidžiamumas, kuris buvo ištaisytas balandžio mėnesio atnaujinime (CVE-2024-53150), yra susijęs su neskelbtinos informacijos nutekėjimu iš „Android“ branduolio. Jis susijęs su skaitymo klaida už išskirtos atminties dalies ribų ir leidžia netoli esančiam piktavaliui pasiekti neskelbtinus įrenginio duomenis be jokios sąveikos su vartotoju.
Be nulinės dienos klaidų ištaisymų taisymo, balandžio mėnesio „Android“ saugos naujinyje yra dar 60 pažeidžiamumų pataisymai. Dauguma jų taip pat klasifikuojami kaip aukšto pavojaus lygio pažeidžiamumai ir yra susiję su privilegijų eskalavimo galimybe.
Vartotojai raginami nedelsti ir atsinaujinti įrenginius
„Google“ tradiciškai išleidžia dviejų lygių „Android“ saugos naujinius per mėnesį: balandžio 1 d. (2025-04-01 paketas) ir balandžio 5 d. (2025-04-05 paketas). Balandžio 5 d. pakete yra visi pirmojo paketo pataisymai ir papildomos uždarojo kodo komponentų bei branduolio modulių pataisos, kurios gali būti aktualios ne visiems įrenginiams. „Pixel“ išmaniųjų telefonų savininkai saugos naujinius prioriteto tvarka gauna tiesiai iš „Google“, o kiti „Android“ įrenginių gamintojai linkę išleisti naujinimus su vėlavimu, atlikdami papildomus suderinamumo bandymus su konkrečia išmaniąja įranga.
Pažymėtina, kad 2024 m. lapkritį „Google“ jau taisė dar vieną nulinės dienos pažeidžiamumą (CVE-2024-43047), kurį, pasak „Project Zero“ tyrėjų, Serbijos valdžios institucijos taip pat aktyviai išnaudojo vykdydamos „NoviSpy“ šnipinėjimo kampaniją, nukreiptą į aktyvistus, žurnalistus ir protestuotojus.
Visiems „Android“ įrenginių naudotojams rekomenduojama kuo greičiau įdiegti naujausią balandžio mėnesio saugos naujinimą, kad apsisaugotumėte nuo galimų grėsmių.
„Android“ – atviro kodo operacinė sistema, daugiausia naudojama išmaniuosiuose telefonuose, nors ją galima įdiegti ir kituose mobiliuosiuose įrenginiuose, kaip kad planšetiniame kompiuteryje. 2005 m. „Google“ įsigijo pirminį operacinės sistemos kūrėją, „Android Inc.“. 2007 m. buvo įsteigtas „Open Handset“ aljansas, kurį vienija 84 techninės bei programinės įrangos gamintojų ir telekomunikacijų bendrovės, atsakingos už šios operacinės sistemos tobulinimą.[2]
