![](data:image/svg+xml;charset=utf-8,<svg height="534px" width="877px" xmlns="http://www.w3.org/2000/svg" version="1.1"/>)
Компанія Google випустила терміновий патч для операційної системи Android, усуваючи дві критичні вразливості типу “zero-day”. За даними розробників, ці вразливості вже активно експлуатуються зловмисниками у реальних кібератаках. Використання цих вразливостей дозволяє підвищити привілеї на пристроях без будь-якої участі користувачів, що робить такі атаки особливо підступними.
Одна з вразливостей, зареєстрована під ідентифікатором CVE-2024-53197, була виявлена експертами організації Amnesty International у співпраці з Бенуа Севенсом, співробітником групи безпеки та аналізу загроз Google. Ця команда спеціалізується на відстеженні кібератак, що походять від державних структур. Наприклад, у лютому Amnesty повідомила, що компанія Cellebrite, яка розробляє інструменти для правоохоронних органів, використовувала послідовність із трьох вразливостей “zero-day” для зламу пристроїв на базі Android.
За інформацією TechCrunch, одна з цих вразливостей застосовувалася проти сербського студента-активіста місцевою владою, яка використовувала технології Cellebrite. Саме цю вразливість було усунуто в патчі, випущеному цього тижня. Деталі щодо другої виправленої проблеми — CVE-2024-53150 — залишаються нез’ясованими. Відомо лише, що її виявлення також приписується Бенуа Севенсу, а сама вразливість впливає на ядро операційної системи.
В офіційній заяві Google зазначається, що “найсерйознішою проблемою є критична вразливість у компоненті System, яка може призвести до віддаленого підвищення привілеїв без необхідності додаткових прав доступу”. Особливо наголошується, що експлуатація вразливості не потребує жодних дій з боку користувача, який може навіть не підозрювати про наявність проблеми.
У Google повідомили, що вихідні коди для усунення двох вразливостей будуть опубліковані впродовж 48 годин після випуску бюлетеня безпеки. Компанія також підкреслила, що їхні партнери — виробники пристроїв на базі Android — традиційно отримують інформацію про подібні проблеми щонайменше за місяць до публічного випуску оновлень. Оскільки операційна система Android базується на відкритому вихідному коді, кожному виробнику смартфонів доведеться самостійно поширювати оновлення серед своїх користувачів.