Поделиться
В Android закрыты две эксплуатируемые шпионские «дыры»
Две уязвимости, которые использовали производители шпионского ПО в атаках, устранены мартовским обновлением ОС Android. Одна могла попасть в поле зрения уже во второй раз.
Наследство, без которого хотелось бы обойтись
Google выкатил обновление безопасности для системы Android, в рамках которого устраняются две активно эксплуатируемые уязвимости. Одна из них «унаследована» от ядра Linux.
Как ни странно, первая из этих уязвимостей обозначена как активно эксплуатируемая во второй раз: «баг» CVE-2024-43093 уже упоминался в бюллетенях безопасности Google в ноябре прошлого года. С чем связано решение повторить пока остается загадкой.
Обе уязвимости допускают повышение привилегий в целевой системе, но затрагивают разные компоненты.
CVE-2024-43093 выявлена в компоненте Framework; ее успешная эксплуатация позволит злоумышленникам получить несанкционированный доступ к каталогам Android/data, Android/obb и Android/sandbox, а также всем подкаталогам внутри них.
Второй «баг» - CVE-2024-50302 - затрагивает компонент HID USB в ядре Linux, что может привести к утечке данных из неинициализированных областей памяти ядра. Для этого злоумышленнику потребуется сформировать специализированные HID-сообщения.
Следы шпионов
Издание The Hacker News отмечает, что CVE-2024-50302 - одна из трех уязвимостей, комбинацией из которых воспользовались разработчики шпионского ПО Cellebrite в ходе атаки на устройство гражданского активиста в Сербии в декабре 2024 г.
Кроме этого, использовались уязвимости CVE-2024-53104 и CVE-2024-53197. Скомбинировав все три, инициаторы атаки добились повышенных привилегий в операционной системе смартфона, что позволило им установить шпионскую программу NoviSpy.
В мартовском бюллетене Google признал, что CVE-2024-43093 и CVE-2024-50302 подвергаются «ограниченной, узконаправленной эксплуатации».
Иначе говоря, их, по-видимому, эксплуатируют полицейские силы и спецслужбы.
«Эти уязвимости привлекают внимание только потому, что их выбрали для эксплуатации производители шпионского ПО», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «И, вероятно, потому, что они «унаследованы» от ядра Linux, в котором их исправили еще в прошлом году. В целом новый бюллетень Google перечисляет десятки уязвимостей, значительная часть которых в теории куда опаснее».
Google выпустил два уровня патчей - 2025-03-01 и 2025-03-05, чтобы обеспечить партнерам - конечным производителям устройств под Android - возможность скорейшим образом обновить свои программные оболочки.
Всего в мартовском обновлении исправлены 44 различные уязвимости, десять из которых отнесены к критическому спектру. Большинство связаны с возможностью запуска произвольного кода, одна - с повышением привилегий. Информации о том, что они кем-либо эксплуатировались до выхода исправлений, на данном этапе нет.
Поделиться
Короткая ссылка
