Google незаметно исправила ошибку USB, из-за которой более миллиарда устройств Android оказались незащищенными

Google незаметно исправила ошибку USB, из-за которой более миллиарда устройств Android оказались незащищенными

      В первую неделю февраля Google опубликовала свой обычный бюллетень по безопасности Android, в котором подробно описываются недостатки в системе безопасности, которые были устранены для повышения безопасности платформы. Об этих недостатках обычно объявляют после их устранения, за исключением особых случаев.

      Февраль - одна из тех редких ситуаций, когда на уровне ядра обнаруживается серьезная ошибка, которая все еще активно использовалась на момент выпуска бюллетеня. “Есть признаки того, что CVE-2024-53104 может использоваться ограниченно и целенаправленно”, - говорится в пресс-релизе.

      Впервые об этой ошибке сообщили эксперты Amnesty International, которые описали ее как “некорректную запись в драйвере USB Video Class (UVC)”. Исследователи добавляют, что, поскольку это эксплойт на уровне ядра, он затрагивает более миллиарда устройств Android, независимо от торговой марки.

      

      

      Пожалуйста, включите Javascript для просмотра этого контента

       Поскольку это эксплойт нулевого дня, о его существовании знают только злоумышленники, если только эксперты по безопасности не обнаружат его присутствие, не разработают исправление совместно с командой платформы, а затем широко не распространят его для всех уязвимых устройств. Две другие уязвимости, CVE-2024-53197 и CVE-2024-50302, были исправлены на уровне ядра, но не были полностью исправлены Google на уровне операционной системы

      Список уязвимостей огромен

      Пул уязвимых устройств - это экосистема Android, в то время как вектор атаки - USB-интерфейс. В частности, речь идет об эксплойтах нулевого дня в USB-драйверах ядра Linux, которые позволяют злоумышленникам обойти защиту экрана блокировки и получить привилегированный доступ к телефону высокого уровня через USB-соединение.

      Используется устройство Cellebrite, которое используется для извлечения данных со смартфонов. Cellebrite

      В данном случае, как сообщается, инструмент, предлагаемый Cellebrite, был использован для разблокировки телефона сербского студента-активиста и получения доступа к хранящимся на нем данным. В частности, сотрудники правоохранительных органов установили набор Cellebrite UFED на телефон студенческого активиста, не сообщив им об этом и не получив их явного согласия.

      Amnesty утверждает, что использование такого инструмента, как Cellebrite, которым злоупотребляли в отношении журналистов и активистов, не было санкционировано законом. Речь шла о телефоне Samsung Galaxy A32, в то время как устройство Cellebrite смогло преодолеть защиту экрана блокировки и получить root-доступ.

      “Производители Android должны срочно усилить защитные функции безопасности, чтобы уменьшить угрозы, исходящие от ненадежных USB-подключений к заблокированным устройствам”, - говорится в отчете Amnesty. Это не первый случай, когда название Cellebrite появляется в новостях.

      Обновите свой Android-смартфон. КАК можно скорее!

      Компания продает свои инструменты криминалистического анализа правоохранительным органам и федеральным агентствам в США и ряде других стран, что позволяет им с помощью грубой силы проникать в устройства и извлекать важную информацию.

      В 2019 году Cellebrite заявила, что может разблокировать любое устройство Android или Apple с помощью своего универсального устройства для криминалистического извлечения данных. Однако это также вызвало этические проблемы и опасения по поводу недобросовестного использования властями для слежки, преследования и травли информаторов, журналистов и активистов.

      Несколько месяцев назад Apple также незаметно ужесточила протоколы безопасности, выпустив обновление iOS 18.1, с целью заблокировать несанкционированный доступ к заблокированным смартфонам и предотвратить утечку конфиденциальной информации.

Google незаметно исправила ошибку USB, из-за которой более миллиарда устройств Android оказались незащищенными

Другие статьи

Я протестировал лучший телефон с камерой за 400 долларов Я протестировал лучший телефон с камерой за 400 долларов Я протестировал сотни телефонов, но ни один из них не произвел на меня впечатления - этот Android-телефон стоимостью 400 долларов делал исключительные портреты и селфи от Zeiss. NYT Connections: советы и ответы на вопросы в субботу, 1 марта NYT Connections: советы и ответы на вопросы в субботу, 1 марта "Связи" - это новая игра-головоломка от New York Times, и она может быть довольно сложной. Если вам нужна помощь в решении сегодняшней головоломки, мы всегда готовы помочь. Почти 1,6 миллиона устройств Android TV были заражены вредоносной программой Vo1d Почти 1,6 миллиона устройств Android TV были заражены вредоносной программой Vo1d Хотя Vo1D еще не распространился в США в значительных количествах, это напоминание о необходимости обеспечения безопасности всех ваших подключенных устройств, включая телевизоры. FIFA знакомится с Silent Hill в Steam, самой безумной демоверсией следующего фестиваля FIFA знакомится с Silent Hill в Steam, самой безумной демоверсией следующего фестиваля Если вы хотите поиграть в какие-нибудь по-настоящему странные демо-версии до окончания Steam Next Fest, вам нужно попробовать Fear Fa 98 прямо сейчас. Я начал пользоваться iPhone 16e, и он оказался лучше, чем я ожидал Я начал пользоваться iPhone 16e, и он оказался лучше, чем я ожидал Я только начал пользоваться iPhone 16e, и у меня были довольно низкие ожидания. Оказывается, я ошибался: я удивлен тем, насколько хорош iPhone 16e на самом деле. 25 лучших видеороликов YouTube для детей (февраль 2025) 25 лучших видеороликов YouTube для детей (февраль 2025) Помогите дошкольникам понять ценность обмена информацией или попросите Билла NYE научить школьников средних классов, как сделать модель вулкана, используя лучшие видео для детей на YouTube.

Google незаметно исправила ошибку USB, из-за которой более миллиарда устройств Android оказались незащищенными

Компания Cellebrite, которая продает инструменты криминалистики правоохранительным органам, воспользовалась уязвимостью нулевого дня в USB-платформе Android.