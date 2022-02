Google wydał właśnie lutowe poprawki bezpieczeństwa dla Androida. Wśród nich jest łatka na krytyczną lukę. Można było atakować telefony z niewielkiej odległości.

Luka była o tyle niebezpieczna, że pozwalała na zdalne uzyskanie uprawnień administratora na telefonie bez potrzeby odblokowywania czy robienia czegokolwiek przez użytkownika. Przy czym telefon wcale nie musi być do tego podłączony do internetu. Zdalność w tym wypadku oznacza komunikację zbliżeniową, czyli NFC. Google nie zdradza więcej szczegółów – i dobrze, bo jeszcze tego brakowało, by ktoś wymyślił atak na niezaktualizowane telefony w zatłoczonym tramwaju.

Wystarczyło się zbliżyć, by przejąć telefon

Dociekliwi znaleźli więcej szczegółów w kodzie źródłowym Androida. Kod obsługujący komunikację przez NFC został wzbogacony o dodatkową funkcję. Przy odbieraniu danych będzie odbywać się dodatkowa kontrola, czy parametr określający rozmiar przekazywanych danych nie jest zbyt duży. To sugeruje, że przed załataniem można było wysłać przez NFC na przykład szkodliwy skrypt, umożliwiający dalsze niecne działania na telefonach ofiar.

Ta luka została oznaczona jako CVE-2021-39675 i ma status krytycznej. Według opisu dostarczonego przez Google można było wykonać szkodliwy kod bez dodatkowych uprawnień i nawet bez odblokowania telefonu.

Ponadto w lutowej porcji poprawek Google łata 5 innych krytycznych luk bezpieczeństwa, występujących w Androidzie 10, 11 i 12. Ponadto w pakietach z 1 i 5 lutego dostaniemy też poprawki frameworka Androida, kodu Mediateka, Qualcomma i innych komponentów systemu. Wszystkie już trafiły do repozytorium Android Open Source Project. Jeśli aktualizacja bezpieczeństwa jest już dostępna dla Twojego telefonu, polecam zainstalować ją jak najszybciej.

