У понеділок Google випустила оновлення для Android, яке виправляє дві вразливості “нульового дня”, які, за словами компанії, “можуть бути використані в обмежених цілеспрямованих цілях”. Це означає, що Google усвідомлює, що хакери використовували і, можливо, все ще використовують ці помилки для компрометації пристроїв Android в реальних умовах.
Один з двох виправлених “нульових днів”, який відстежується як CVE-2024-53197, був виявлений Amnesty International у співпраці з Бенуа Севенсом з Google Threat Analysis Group, командою безпеки технологічного гіганта, яка відстежує кібератаки, що підтримуються урядом.
У лютому Amnesty заявила, що виявила, що компанія Cellebrite, яка продає правоохоронним органам пристрої для розблокування та криміналістичного аналізу телефонів, використовувала ланцюжок з трьох вразливостей нульового дня для злому телефонів на базі Android.
У цьому випадку “Амністія” виявила, що вразливості, включаючи виправлену в понеділок, були використані проти сербського студентського активіста місцевою владою, озброєною Cellebrite.
Про другу вразливість, CVE-2024-53150, виправлену в понеділок, відомо небагато, окрім того, що її відкриття також приписують “сімці” Google і що вада була знайдена в ядрі, тобто в ядрі операційної системи.
Google не одразу відповів на запит про коментар.
Прес-секретар Amnesty Хаджіра Мар’ям сказала, що неприбуткова організація не має чим поділитися на даний момент.
У своєму повідомленні технологічний гігант зазначив, що “найсерйознішою з цих проблем є критична вразливість безпеки в системному компоненті, яка може призвести до віддаленого підвищення привілеїв без додаткових привілеїв на виконання”, і що “для її використання не потрібна взаємодія з користувачем”.
Компанія Google заявила, що випустить виправлення вихідного коду для двох фіксованих нульових днів протягом 48 годин після повідомлення, а також зазначила, що партнери Android “отримують повідомлення про всі проблеми щонайменше за місяць до публікації”.
Враховуючи відкритий характер Android, кожен виробник телефонів тепер повинен випускати патчі для своїх користувачів.
