Na segunda -feira, O Google lançou uma atualização para Android Isso corrige duas falhas de dia zero que “podem estar sob exploração limitada e direcionada”, como a empresa colocou. Isso significa que o Google está ciente de que os hackers foram e ainda podem estar usando os bugs para comprometer os dispositivos Android em cenários do mundo real.
Um dos dois zero dias agora fixados, rastreados como CVE-2024-53197foi identificado pela Anistia Internacional em colaboração com os setes de Benoît do grupo de análise de ameaças do Google, a equipe de segurança da gigante da tecnologia que acompanha os ataques cibernéticos apoiados pelo governo.
Em fevereiro, a Anistia disse que descobriu que a Cellebrite, uma empresa que vende dispositivos para a aplicação da lei para desbloquear e analisar forensicamente telefones, estava aproveitando uma cadeia de três Vulnerabilidades de dia zero para invadir telefones Android.
Contate-nos
Você tem mais informações sobre o Android Zero-Days? De um dispositivo não trabalhador, você pode entrar em contato com Lorenzo Franceschi-Bicchierai com segurança no sinal em +1 917 257 1382, ou via telegrama e keybase @lorenzofb, ou e-mail. Você também pode entrar em contato com o TechCrunch via Segurado.
Nesse caso, a Anistia encontrou as vulnerabilidades, incluindo a de segunda -feira na segunda -feira, sendo usado contra um ativista estudantil sérvio pelas autoridades locais armadas com Cellebrite.
Não há muita informação, no entanto, na segunda vulnerabilidade, CVE-2024-53150, corrigida na segunda-feira, além do fato de que sua descoberta também foi creditada aos setes do Google e que a falha foi encontrado no kernelo núcleo de um sistema operacional.
Google e Anistia não responderam imediatamente a um pedido de comentário.
A gigante da tecnologia disse em seu aviso que “a mais grave dessas questões é uma vulnerabilidade crítica de segurança no componente do sistema que pode levar à escalada remota de privilégio, sem privilégios adicionais de execução necessários” e que “a interação do usuário não é necessária para exploração”.
O Google disse que levaria os patches de código-fonte para os dois dias zero fixo dentro de 48 horas após o aviso, além de observar que os parceiros do Android são “notificados de todos os problemas pelo menos um mês antes da publicação”.
Dada a natureza de código aberto do Android, todo fabricante de telefones agora precisa empurrar patches para seus próprios usuários.
