В понедельник Google выпустил обновление для Android, которое исправляет два недостатка в нулевом дне, которые «могут быть ограничены, целенаправленная эксплуатация», как выразилась компания. Это означает, что Google знает, что хакеры были и могут все еще использовать ошибки для компромисса устройств Android в сценариях реального мира.
Amnesty International в сотрудничестве с Benoît Mevens of Google Analysis Group, технологической группой технологического гиганта, которая отслеживала ZER-Days, один из двух фиксированных нулевых дней, отслеживаемых как CVE-2024-53197, был идентифицирован Amnesty International в сотрудничестве с Benoît Analysis Group Google.
В феврале Amnesty заявила, что она обнаружила, что Cellebrite, компания, которая продает устройства правоохранительным органам для разблокировки и судебного анализа телефонов, использовала преимущества из трех уязвимостей нулевого дня, чтобы взломать телефоны Android.
Связаться с нами
У вас есть больше информации о нулевых днях Android? Из неработающего устройства вы можете надежно связаться с Lorenzo Franceschi-Bicchierai по сигналу +1 917 257 1382, или через Telegram и Keybase @lorenzofb или по электронной почте. Вы также можете связаться с TechCrunch через Securedrop.
В этом случае Amnesty обнаружила уязвимости, в том числе представленные в понедельник, которые используются против сербского студента -активиста местными властями, вооруженными целбраком.
Однако не так много информации о второй уязвимости, CVE-2024-53150, исправленной в понедельник, за исключением того факта, что его открытие также было зачислено на семерки Google и что недостаток был найден в ядре, ядре операционной системы.
Google и Amnesty не сразу ответили на запрос на комментарий.
Технический гигант заявил в своем консультировании, что «наиболее серьезным из этих проблем является критическая уязвимость безопасности в системном компоненте, которая может привести к удаленному эскалации привилегий без дополнительных необходимых привилегий выполнения», и что «взаимодействие с пользователем не требуется для эксплуатации».
Google сказал, что он подтолкнет исправления исходного кода для двух фиксированных нулевых дней в течение 48 часов после консультации, а также отмечает, что партнеры Android «уведомлены обо всех проблемах как минимум за месяц до публикации».
Учитывая природу с открытым исходным кодом Android, каждый производитель телефонов теперь должен выдвигать патчи своим пользователям.
