Krytyczna luka w Androidzie. Google załatał, ale to połowa sukcesu

W Androidzie wykryto krytyczną lukę, którą Google załatał wraz z grudniowym biuletynem bezpieczeństwa. Problem dotyczy Androida 11, 12, 12L, 13 oraz 14, czyli znakomitej większości najpopularniejszych wydań na rynku. Niestety, działanie Google'a nie oznacza automatycznie bezpieczeństwa użytkowników.

O szczegółach można przeczytać w biuletynie bezpieczeństwa Androida opublikowanym 4 grudnia. Jak zwraca uwagę serwis Android Central, najpoważniejszy problem to ten oznaczony symbolem CVE-2023-40088. Chodzi o możliwość przeprowadzenia ataku use-after-free po jednym z etapów działania Androida podczas obsługi połączeń bezprzewodowych. Może to prowadzić do uruchomienia w telefonie dowolnego kodu.

Chociaż formalnie lukę można wykorzystać zdalnie, w praktyce zagrożenie jest nieco ograniczone, bo wymagane jest połączenie w ramach tej samej sieci Wi-Fi lub bliski zasięg atakującego z ofiarą - celem wykorzystania połączenia Bluetooth lub NFC (podobnie jak w przypadku świeżo wykrytej luki w samej łączności Bluetooth). Google określił lukę CVE-2023-40088 jako krytyczną i jak podał, załatał ją w Androidzie 11, 12, 12L, 13 i 14 - które według globalnych danych statcounter działają łącznie w przeszło 72 proc. sprzętów z Androidem na rynku.

Niestety samo zaadresowanie problemu przez Google'a w biuletynie łatek na Androida nie oznacza od razu bezpieczeństwa wszystkich urządzeń na rynku. Dalej aktualizacjami muszą zająć się producenci smartfonów, którzy udostępniają aktualizacje w obsługiwanych przez siebie systemach aktualizacji OTA.

Dalsza część artykułu pod materiałem wideo

Android co do zasady nie słynie z dobrego tempa wdrażania takich poprawek do urządzeń końcowych. W praktyce należy więc nastawić się na wiele tygodni, nim poprawki trafią do wszystkich urządzeń objętych aktualizacjami. Niestety część sprzętów prawdopodobnie nigdy nie dostanie odpowiedniej aktualizacji bezpieczeństwa z uwagi na zakończony okres wsparcia.