Hackeri môžu prevziať kontrolu nad vašim Android smartfónom. Túto aktualizáciu neodkladajte, stiahnite si ju hneď, ako budete môcť
Google vydal bezpečnostnú aktualizáciu Androidu. Venuje sa viacerým, aj kritickým bezpečnostným ohrozeniam, medzi ktorými boli aj bezpečnostné vady Bluetooth. Hackeri sa cez ne mohli na diaľku dostať obetiam do telefónov.
Google vydal poslednú pravidelnú bezpečnostnú aktualizáciu Androidu v roku 2023. Na svojom webe uvádza 94 bezpečnostných ohrození, ktoré napráva v rámci tohto updatu. Z nich označil až 5 za kritických, čo robí tohtomesačný bezpečnostný bulletin jedným z najzávažnejších tohto roka. Všetkým piatim spomenutým kritickým bezpečnostným vadám sa venujeme v tomto článku.
Bluetooth ohrozenia
Jednou zo spomínaných bezpečnostných závad je bezpečnostná vada Bluetoothu, ktorá umožňovala hackerom vlámať sa na diaľku do telefónu obete, a to bez akejkoľvek interakcie či schválenia používateľa. Dosiahnuť to mohli pomocou špecificky vytvoreného programu, ktorý by mohol viesť k tzv. RCE, teda Remote Code Execution. Hackeri takto vedeli vykonávať spúšťanie cudzieho kódu, či zlyhávanie aplikácií telefónu. Vývojári Androidu označili túto bezpečnostnú vadu ako CVE-2023-40088.
Ďalšou Bluetoth bezpečnostnou slabinou je vada softvéru BlueZ, ktorý poskytuje Bluetooth podporu pre tzv. HID (Human Interface Device) zariadenia. Najčastejšie pod týmto pojmom chápeme Bluetooth klávesnice či myšky. Cez túto bezpečnostnú hrozbu mohli útočníci vytvárať pripojenia Bluetooth zariadení aj bez toho, aby obeť potvrdila párovanie Bluetooth so zariadením útočníka. Po úspešnom pripojení mohli útočníci pomocou Bluetooth klávesnice simulovať stlačenia kláves v zariadení a teda dosiahnuť svoje ciele.
Nakoľko má štandardné Bluetooth pripojenie dosah 10 metrov od zariadenia, útočník musí byť vo fyzickej blízkosti svojej obete pre úspešný útok. Mať Bluetooth zapnutý iba vtedy, kedy je to naozaj potrebné, je každopádne najefektívnejšou reakciou na akékoľvek bezpečnostné vady spojené s funkciou Bluetooth.
Drobná chyba, potenciálne veľký problém
Ďalšou kritickou bezpečnostnou hrozbou je CVE-2023-40077. Android Framework systém, ktorý tvorí základ Androidu, mohol v dôsledku tejto bezpečnostnej vady udeľovať útočníkom vyššie oprávnenia, než by mal. Táto bezpečnostná slabina mohla spôsobovať tzv. Race condition, teda nesprávne fungovanie softvéru spôsobené správne načasovanými imputmi útočníka. Práve takéto zlyhanie mohlo spôsobovať spomínané udeľovanie právomocí útočníkom.
Neprehliadnite
Bezpečnostná vada CVE-2023-40076 umožňovala útočníkom dostať sa k bezpečnostným certifikátom obetí obídením bezpečnostných povolení. To mohlo viesť, podobne, ako v prvom prípade, k udeleniu právomocí útočníkom bez ďalšieho súhlasu alebo interakcie obetí. Tentokrát však k tomu nedochádza prostredníctvom Bluetooth funkcií, ale prostredníctvom časti Android kódu vydávajúcej bezpečnostné tokeny aplikáciám tretích strán.
Ďalšie kritické bezpečnostné ohrozenie sa týka komponentov od spoločnosti Qualcomm. Vývojári pod kódom CVE-2022-40507 označili riziko poškodenia obsahu v pamäti. V tomto prípade môže dvojnásobné uvoľnenie pamäte (Double Free) v jadre čipu spôsobiť nekonzistentné správanie systému a potenciálne umožniť útočníkovi získať neoprávnený prístup k systémovým zdrojom.
Sú vaše zariadenia v bezpečí?
Riešenia všetkých hore spomenutých chýb už sú implementované v Android zariadeniach s updatom vykonaným 5.12.2023 alebo neskôr. Nie všetky zariadenia však majú prístup k najnovším updatom Androidu ihneď. Preto je potrebné skontrolovať si, či máte stiahnutú najnovšiu verziu Androidu.
Vzhľadom na transparentnosť Googlu pri opisovaní svojich problémov a pravidelné aktualizácie, ktoré sú odpoveďou na bezpečnostné vady, však treba dodať, že šance na kybernetický útok spôsobený hore zmienenými vadami je pre bežného človeka nízky. Tak či onak, sme súčasťou nikdy sa nekončiacich pretekov na mačku a myš medzi čiernymi a bielymi hackermi.
Komentáre