Google opravil 2 aktívne zneužívané zero-day zraniteľnosti operačného systému Android

Spoločnosť Google vydala bezpečnostné aktualizácie pre svoj operačný systém Android, ktoré opravujú 62 zraniteľností, z čoho 4 je označených ako kritické a 2 ako aktívne zneužívané. CVE-2024-53150 a CVE-2024-53197 v kerneli možno zneužiť na eskaláciu privilégií a získanie neoprávneného prístupu k citlivým údajom.

Zraniteľné systémy:

• Zariadenia s operačným systémom Android bez aktualizácie z 05.04.2025

Opis zraniteľnosti:

Kritické zraniteľnosti:

Najzávažnejšie zraniteľnosti možno zneužiť na získanie neoprávneného prístupu k citlivým údajom (CVE-2025-22429, CVE-2024-45551), eskaláciu privilégií (CVE-2025-26416) a zneprístupnenie služby (CVE-2025-22423).

Aktívne zneužívané zraniteľnosti:

CVE-2024-53150 (CVSS 3.1 skóre: 7,8)

Zraniteľnosť v kerneli Androidu sa nachádza v ovládači USB-audio pre ALSA. Spočíva v absencii kontroly parametra deskriptorov bLength. Možno ju zneužiť na čítanie mimo povolených hodnôt pamäte a získanie neoprávneného prístupu k citlivým údajom.

CVE-2024-53197 (CVSS 3.1 skóre: 7,8)

Zraniteľnosť v kerneli Androidu sa nachádza v ovládači USB-audio pre zariadenia ALSA a spočíva v možnosti čítania pamäte mimo povolené hodnoty. Zraniteľnosť možno zneužiť na eskaláciu privilégií.

Pozn.: Zraniteľnosti s označením CVE-2024-53150 a CVE-2024-53197 sú v súčasnosti aktívne zneužívané.

Na základe analýzy Amnesty International (ďalej len AI) bola zraniteľnosť CVE-2024-53197 využívaná v rámci forenzných nástrojov Cellebrite, ktoré boli údajne v roku 2024 zneužité srbskou vládou na odomknutie Android zariadenia aktivistu a pokuse o inštaláciu spyvéru. Spoločnosť Cellebrite sa špecializuje na vývoj špecializovaných produktov určených pre orgány činné v trestnom konaní, spravodajské služby a forenzných špecialistov. V nadväznosti na uvedené analýzy Cellebrite ukončila poskytovanie svojich služieb a produktov pre bližšie nešpecifikovaných zákazníkov v Srbsku.

Možné škody:

• Eskalácia privilégií
• Neoprávnený prístup k citlivým údajom
• Zneprístupnenie služby (DoS)

Odporúčania:

Administrátorom a používateľom odporúčame vykonať bezodkladnú inštaláciu aktualizácií operačného systému Android z 5. apríla 2025.

Zdroje:

• https://source.android.com/docs/security/bulletin/2025-04-01
• https://nvd.nist.gov/vuln/detail/CVE-2024-53150
• https://nvd.nist.gov/vuln/detail/CVE-2024-53197
• https://www.bleepingcomputer.com/news/security/google-fixes-android-zero-days-exploited-in-attacks-60-other-flaws/
• https://thehackernews.com/2025/04/google-releases-android-update-to-patch.html