Google рассказала о четырех уязвимостях 0-day в Android

Компания Google обновила бюллетень по безопасности Android за май 2021 года. В нем говорится о четырех уязвимостях, которые использовались неизвестными хакерами для захвата устройств, работающих с чипами Arm и Qualcomm на операционной системе Android.

Уязвимости позволяют злоумышленникам запускать вредоносный код, который может получить полный контроль над устройствами, сообщили представители Google. Компания выпустила обновления безопасности для производителей устройств, на которых теперь возлагается ответственность за распространение исправлений среди пользователей.

В бюллетене от 3 мая не сообщалось, что какая-либо из примерно 50 уязвимостей активно эксплуатируется. 19 мая Google обновила уведомление, в котором говорится, что есть «признаки» того, что четыре уязвимости «могут быть подвергнуты целевому использованию». Позже представитель компании заявил, что уязвимости эксплуатировались in-the wild как 0-day.

Полный контроль

По словам вице-президента по стратегическим проектам компании Zimperium, успешное использование уязвимостей даст злоумышленникам полный контроль над мобильным терминалом жертвы.

Согласно данным Zimperium, в Android в 2021 году было обнаружено четыре уязвимости нулевого дня по сравнению с одной за весь 2020-й.

Две уязвимости связаны с процессором Qualcomm Snapdragon:

• CVE-2021-1905 представляет собой недостаток, связанный с повреждением памяти, который позволяет злоумышленникам выполнять вредоносный код с неограниченными привилегиями. Уязвимость классифицируется как серьезная с рейтингом 7.8 из 10;
• CVE-2021-1906 представляет собой логическую ошибку, которая может вызвать сбои при выделении новых адресов памяти графического процессора. Уязвимость средней тяжести с рейтингом 5.5 из 10. Чтобы обойти средства защиты, хакеры часто связывают два или более эксплойтов вместе. Вероятно, это связано с двумя недостатками Snapdragon;
• Две другие уязвимости находятся в драйверах, которые работают с графическими процессорами ARM. И CVE-2021-28663, и CVE-2021-28664 также связаны с повреждением памяти, что позволяет злоумышленникам получить root-права на уязвимых устройствах.

Рекомендации Google

Представители Google не ответила на электронные письма, в которых запрашивалась информация о том, как пользователи могут узнать, подверглись ли они атаке или нет. 

Пока непонятно, как именно кто-то будет использовать уязвимости. Злоумышленник может отправлять вредоносные текстовые сообщения или, например, обманным путем заставить цели установить вредоносное приложение или посетить вредоносный веб-сайт.

Чтобы хоть как-то защитить себя, пользователи Android должны убедиться, что все обновления установлены. Кто использует устройства Android от Google, автоматически получат исправления в майском выпуске системы безопасности. Пользователи других устройства должны проконсультироваться с производителем.