Google предупреждава: Тези четири недостатъка на Android вече са атакувани

Три седмици след като Google пусна актуализацията за сигурност на Android през май 2021 г., екипът на Google Project Zero разкри, че четири от закрепените уязвимости вече са били атакувани.

„Има индикации, че CVE-2021-1905, CVE-2021-1906, CVE-2021-28663 и CVE-2021-28664 може да са под ограничена, целенасочена експлоатация“, каза Google в бележка в своя бюлетин от май 2021 г., който беше публикуван на 1 май.

ВИЖТЕ: Политика за мрежова сигурност (TechRepublic Premium)

Изследователят на сигурността на Google Project Zero Мади Стоун заяви, че това са били нулеви или неизвестни досега недостатъци в туит.

Четирите недостатъка засягат графичния процесор на Qualcomm (CVE-2021-1905, CVE-2021-1906) и графичния процесор Arm Mali (CVE-2021-28663, CVE-2021-28664).

Като Project Zero отбелязва в електронната си таблица „0day ‘in the wild’“, грешките на Arm позволяват на атакуващия да пише в паметта само за четене в пощенския графичен процесор и недостатък на паметта без използване в GPU. Грешките на Qualcomm включват неправилно боравене с грешки и неизползваем дефект в графичния процесор.

Google се справи с репортера на Дан Гудин, казвайки, че грешките „може да са под ограничена, целенасочена експлоатация“, защото са били „неясни до степен, че са безсмислени“.

Шейн Хънтли от групата за анализ на заплахите (TAG) на Google, който през ноември разкри три недостатъка на нулевия ден в iOS на Apple, защити фразата на Google, подчертавайки, че Google не винаги разполага с информация, за да каже дали уязвимостта е атакувана. TAG също така откри и разкри нулевите дефекти в браузъра WebKit на Apple, които накараха Apple да издаде спешната актуализация на iOS 14.4.2 през март. Apple дори актуализира по-стари iOS устройства до версия 12.5.2, за да се справи с тези проблеми.

“Понякога разбирам разочарованието, че хората не винаги получават МОК и подробности, които искат, но може би мога да хвърля малко повече светлина тук,” той написа, позовавайки се на индикатори за компромис (IOC).

„Първо, не всички доклади„ In The Wild “означават, че знаем точно зададената цел.„ In The Wild “може да означава, че експлойтът е бил открит на черния пазар или хакерски форум или ни е докладван от източник, който желае да остане анонимен. В тези случаи IOC или насочването не са налични или известни.

ВИЖТЕ: Този зловреден софтуер е пренаписан на езика за програмиране Rust, за да бъде по-трудно да се открие

“Ние силно вярваме, че има разлика между експлоатите, които сме открили или сме докладвали чрез координирано разкриване, и тези, за които знаем, че са в ръцете на нападателите. Сигнализирането на последното помага при определянето на приоритетите.

“Работим, за да предоставим повече информация, когато е възможно, за това, което наблюдаваме, но това е компромис и понякога или няма подробности, или не може да разкрие цялата информация, която някои хора искат. Все още смятаме, че има стойност да се освободи това, което ние мога.”

Qualcomm казва в своя съвет че CVE-2021-1905 е докладвано на 17 ноември 2020 г. и го оценява като недостатък с висока степен на сериозност. CVE-2021-1906 е недостатък със средна степен на сериозност, докладван на 7 декември 2020 г.

Недостатъците засягат огромен брой чипсети на Qualcomm, но изискват локален достъп, за да се използва, според производителя на чипове.

Samsung едва вчера започна да пуска кръпката за сигурност за Android от май 2021 г. на водещите телефони Galaxy S21, както съобщава Sammobile. Но изключително популярните смартфони от серията A на Samsung все още не са получили тази актуализация.



Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com