Google opravil 2 aktívne zneužívané zero-day zraniteľnosti operačného systému Android

Spoločnosť Google vydala bezpečnostné aktualizácie pre svoj operačný systém Android, ktoré opravujú 44 zraniteľností, z čoho 10 je označených ako kritické a 2 ako aktívne zneužívané. CVE-2024-43093 v komponente Framework a CVE-2024-50302 v komponente HID USB možno zneužiť na získanie neoprávneného prístupu k citlivým údajom v systémových priečinkoch a kernel pamäti.

Zraniteľné systémy:

• Zariadenia s operačným systémom Android bez aktualizácie z 05.03.2025

Opis zraniteľnosti:

Kritické zraniteľnosti:

Najzávažnejšie zraniteľnosti možno zneužiť na vzdialené vykonanie kódu (CVE-2025-0074, CVE-2025-0075, CVE-2025-0084, CVE-2025-22403, CVE-2025-22408, CVE-2025-22410, CVE-2025-22411, CVE-2025-22412), eskaláciu privilégií (CVE-2025-22409) a zneprístupnenie služby (CVE-2025-0081).

Aktívne zneužívané zraniteľnosti:

CVE-2024-43093 (CVSS 3.1 skóre: 7,8)

Zraniteľnosť nachádzajúcu sa v komponente Framework možno zneužiť na eskaláciu privilégií a získanie neoprávneného prístupu k obsahu systémových priečinkov Android/data, Android/obb a Android/sandbox.

CVE-2024-50302 (CVSS 3.1 skóre: 7,8)

Komponent HID, ktorého ovládač je súčasťou Linux kernelu, obsahuje zraniteľnosť, ktorú možno zneužiť na získanie neoprávneného prístupu k údajom zneužitím neinicializovanej pamäte kernelu.

Pozn.: Zraniteľnosti s označením CVE-2024-43093 a CVE-2024-50302 sú v súčasnosti aktívne zneužívané.

Na základe analýzy Amnesty International (ďalej len AI) bola zraniteľnosť CVE-2024-50302 údajne zneužívaná v rámci forenzných nástrojov Cellebrite, ktoré boli údajne v polovici roka 2024 zneužité srbskou vládou na odomknutie zariadenia Android aktivistu a pokuse o inštaláciu spyvéru. Podobná analýza AI z decembra 2024 taktiež upozorňovala na možné zneužitie nástrojov Cellebrite na odpočúvanie aktivistov a novinárov zo strany srbskej vlády. Spoločnosť Cellebrite sa špecializuje na vývoj špecializovaných produktov určených pre orgány činné v trestnom konaní, spravodajské služby a forenzných špecialistov. V nadväznosti na uvedené analýzy Cellebrite ukončila poskytovanie svojich služieb a produktov pre bližšie nešpecifikovaných zákazníkov v Srbsku.

Možné škody:

• Vzdialené vykonanie kódu
• Eskalácia privilégií
• Získanie neoprávneného prístupu k citlivým údajom
• Zneprístupnenie služby

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú inštaláciu aktualizácií operačného systému Android z 5. marca 2025.

Zdroje:

• https://source.android.com/docs/security/bulletin/2025-03-01
• https://nvd.nist.gov/vuln/detail/CVE-2024-50302
• https://nvd.nist.gov/vuln/detail/CVE-2024-43093
• http://securitylab.amnesty.org/latest/2025/02/cellebrite-zero-day-exploit-used-to-target-phone-of-serbian-student-activist/
• https://cellebrite.com/en/cellebrite-statement-about-amnesty-international-report/
• https://www.amnesty.org/en/latest/news/2024/12/serbia-authorities-using-spyware-and-cellebrite-forensic-extraction-tools-to-hack-journalists-and-activists/
• https://www.bleepingcomputer.com/news/security/google-fixes-android-zero-days-exploited-in-targeted-attacks/