10 krytycznych luk w Androidzie. Miliony smartfonów nadal bez aktualizacji

Google udostępnił grudniowy biuletyn zabezpieczeń Androida. 10 spośród 46 wszystkich opisywanych luk stanowi krytyczne zagrożenie. Kilka z nich dotyczy komponentów Qualcommu i otrzymały 9,8/10 punktów w skali CVSS.

Według Google, za najgroźniejszą lukę uznano jednak krytyczną podatność w zabezpieczeniach składnika Media Framework. Za pomocą specjalnie spreparowanego pliku, atakujący może wykonać dowolny kod w kontekście uprzywilejowanego procesu, i może zapewnić zdalną kontrolę nad urządzeniem. To z kolei może prowadzić do kradzieży kont bankowych.

Więcej szczegółów na temat luki oznaczonej kodem CVE-2020-0458 (tak samo jak w przypadku pozostałych) nie ujawniono. Prawdopodobnie dowiemy się więcej, kiedy wszyscy więksi producenci smartfonów udostępnią aktualizacje oprogramowania. A to może stać się nieprędko, gdyż do 10 grudnia zaledwie 2 firmy udostępniły nowe paczki zabezpieczeń.

Na temat luk w Androidzie szerzej informuje Qualcomm, który tego samego dnia co Google, wydał oświadczenie. Krytyczne błędy wykryte w firmwarze chipsetów Qualcommu otrzymały 9,8/10 punktów w skali CVSS. Osiem z nich dotyczyło sterowaniem dźwięku, a jedna z nich (CVE-2020-11225) jest powiązana z komponentem hosta WLAN.

Inna z luk dotyczyła dźwięku i została oznaczona kodem CVE-2020-11137. Problem stanowi nadmierny odczyt bufora dźwięku. Atakujący może doprowadzić do "niepoprawnej alokacji pamięci na bufor, podczas mnożenia liczb całkowitych dochodzi do przepełnienia i prób dostępu do niewłaściwych fragmentów pamięci, co prowadzi do niestabilnej pracy urządzenia". Więcej informacji na temat luk w procesorach Qualcommu znajdziecie w oświadczeniu firmy.

Google za każdym razem informuje swoich partnerów biznesowych o nadchodzących łatkach co najmniej miesiąc przed publikacją biuletynu. W przypadku Android Open Source Project, aktualizacje zazwyczaj są udostępniane w ciągu 48 godzin od publikacji. Te z kolei jeszcze się nie pojawiły.

Póki co, aktualizacja zabezpieczeń Androida (poziom poprawki na 1 grudnia) trafiła jedynie do smartfonów dwóch koreańskich producentów. Są nimi Samsung oraz LG. Zazwyczaj te dwie firmy przykładają zazwyczaj jako pierwsze udostępniają poprawki bezpieczeństwa, przy czym należy zwrócić uwagę, że jako pierwsze otrzymają je tzw. "modele flagowe" i część nowszych urządzeń. Starsze smartfony dostaną je dopiero później. Klienci pozostałych producentów powinni powiadomienia, bo nowy pakiet zabezpieczeń może być dostępny lada dzień.

Jak udało nam się ustalić, właściciele smartfonów Xiaomi powinni otrzymać aktualizację 15 grudnia. Data jej udostępnienia może też zależeć od modelu urządzenia. Przykładowo, smartfon Xiaomi Mi 9T otrzymał dopiero październikową łatkę, natomiast Xiaomi Mi 10 Lite 5G posiada jeszcze wersję zabezpieczeń z sierpnia.