Google opravil 2 aktívne zneužívané zero-day zraniteľnosti operačného systému Android
Spoločnosť Google vydala bezpečnostné aktualizácie pre svoj operačný systém Android, ktoré opravujú 44 zraniteľností, z čoho 10 je označených ako kritické a 2 ako aktívne zneužívané. CVE-2024-43093 v komponente Framework a CVE-2024-50302 v komponente HID USB možno zneužiť na získanie neoprávneného prístupu k citlivým údajom v systémových priečinkoch a kernel pamäti.
Zraniteľné systémy:
- Zariadenia s operačným systémom Android bez aktualizácie z 05.03.2025
Opis zraniteľnosti:
Kritické zraniteľnosti:
Najzávažnejšie zraniteľnosti možno zneužiť na vzdialené vykonanie kódu (CVE-2025-0074, CVE-2025-0075, CVE-2025-0084, CVE-2025-22403, CVE-2025-22408, CVE-2025-22410, CVE-2025-22411, CVE-2025-22412), eskaláciu privilégií (CVE-2025-22409) a zneprístupnenie služby (CVE-2025-0081).
Aktívne zneužívané zraniteľnosti:
CVE-2024-43093 (CVSS 3.1 skóre: 7,8)
Zraniteľnosť nachádzajúcu sa v komponente Framework možno zneužiť na eskaláciu privilégií a získanie neoprávneného prístupu k obsahu systémových priečinkov Android/data, Android/obb a Android/sandbox.
CVE-2024-50302 (CVSS 3.1 skóre: 7,8)
Komponent HID, ktorého ovládač je súčasťou Linux kernelu, obsahuje zraniteľnosť, ktorú možno zneužiť na získanie neoprávneného prístupu k údajom zneužitím neinicializovanej pamäte kernelu.
Pozn.: Zraniteľnosti s označením CVE-2024-43093 a CVE-2024-50302 sú v súčasnosti aktívne zneužívané.
Na základe analýzy Amnesty International (ďalej len AI) bola zraniteľnosť CVE-2024-50302 údajne zneužívaná v rámci forenzných nástrojov Cellebrite, ktoré boli údajne v polovici roka 2024 zneužité srbskou vládou na odomknutie zariadenia Android aktivistu a pokuse o inštaláciu spyvéru. Podobná analýza AI z decembra 2024 taktiež upozorňovala na možné zneužitie nástrojov Cellebrite na odpočúvanie aktivistov a novinárov zo strany srbskej vlády. Spoločnosť Cellebrite sa špecializuje na vývoj špecializovaných produktov určených pre orgány činné v trestnom konaní, spravodajské služby a forenzných špecialistov. V nadväznosti na uvedené analýzy Cellebrite ukončila poskytovanie svojich služieb a produktov pre bližšie nešpecifikovaných zákazníkov v Srbsku.
Možné škody:
- Vzdialené vykonanie kódu
- Eskalácia privilégií
- Získanie neoprávneného prístupu k citlivým údajom
- Zneprístupnenie služby
Odporúčania:
Administrátorom a používateľom odporúčame vykonať bezodkladnú inštaláciu aktualizácií operačného systému Android z 5. marca 2025.
Zdroje:
- https://source.android.com/docs/security/bulletin/2025-03-01
- https://nvd.nist.gov/vuln/detail/CVE-2024-50302
- https://nvd.nist.gov/vuln/detail/CVE-2024-43093
- http://securitylab.amnesty.org/latest/2025/02/cellebrite-zero-day-exploit-used-to-target-phone-of-serbian-student-activist/
- https://cellebrite.com/en/cellebrite-statement-about-amnesty-international-report/
- https://www.amnesty.org/en/latest/news/2024/12/serbia-authorities-using-spyware-and-cellebrite-forensic-extraction-tools-to-hack-journalists-and-activists/
- https://www.bleepingcomputer.com/news/security/google-fixes-android-zero-days-exploited-in-targeted-attacks/