Google załatało luki typu zero-day w Androidzie. Jedna z nich umożliwiała odblokowanie telefonu bez udziału jego właściciela

Jak podaje redakcja Bleeping Computer, w ramach kwietniowej aktualizacji zabezpieczeń systemu Android Google uporało się z 62 błędami trapiącymi popularny OS. Wśród tego zaszczytnego grona znalazły się dwie luki typu zero-day, które swego czasu zostały wykorzystane przez serbskie służby celem dobrania się do smartfonów będących własnością osób uznanych za wrogów ichniego rządu.

Pierwsza z dwóch luk to "dziura w zabezpieczeniach o wysokim poziomie eskalacji uprawnień w sterowniku USB-audio jądra Linux dla urządzeń ALSA" oznaczona kodem CVE-2024-53197. To właśnie ona została wykorzystana przez władze Serbii do zaglądania w skonfiskowane telefony z Androidem na pokładzie i grzebania w nich celem znalezienia potencjalnie obciążających informacji.

Drugi z błędów to "luka w zabezpieczeniach jądra systemu Android spowodowana słabością odczytu poza granicami" o przypisanej nazwie CVE-2024-53150. Cyberprzestępcy, którzy wiedzą, jak ją wykorzystać, są w stanie uzyskać dostęp do poufnych informacji znajdujących się na urządzeniu bez jakiejkolwiek interakcji ze strony jego właściciela.

Prócz wspomnianych powyżej bolączek, wydana przez Google poprawka eliminuje 60 innych problemów z zabezpieczeniami Androida. Większość z nich to dość istotne błędy umożliwiające podniesienie uprawnień nieupoważnionych użytkowników, więc tym lepiej, że korporacja postanowiła wkroczyć do akcji i zająć się babolami w kodzie.

Stosowne łatki zostały wydane pierwszego i piątego kwietnia, a posiadacze sprzętu z serii Google Pixel otrzymali do nich dostęp praktycznie natychmiast. Z kolei właściciele urządzeń innych marek mogli ściągnąć aktualizację nieco później, jako że wymagała ona uprzedniego przetestowania.