גוגל מסרה ביום שני כי גילתה פגיעות אבטחה קריטית במערכת ההפעלה שלה Android, מה שעשוי לאפשר לתוקף לבצע מרחוק קוד במכשיר "ללא צורך בהרשאות נוספות לביצועו". לבעיה הוקצה המזהה CVE-2023-40088. בעתיד הקרוב, החברה תשחרר עדכון אבטחה שאמור לפתור בעיה זו.
גוגל לא מפרסמת פרטים על הפגיעות שזוהתה כ-CVE-2023-40088. ידוע שהוא שייך לקטגוריית System ונראה שניתן להשתמש בו כדי להוריד ולהתקין מרחוק במכשיר באמצעות Wi-Fi, Bluetooth או NFC תוכנה זדונית ללא ידיעת בעל הגאדג'ט.
למרות שפגיעות זו ניתנת לניצול מרחוק, ראוי לציין שהתוקף חייב להיות קרוב יחסית למכשיר של הקורבן הפוטנציאלי.
גוגל לא אמרה כיצד התגלתה הפגיעות, או האם ישנם מקרים של ניצול שלה על ידי תוקפים. החברה תשחרר תיקונים עבור CVE-2023-40088 בימים הקרובים עבור אנדרואיד 11, 12, 12L, 13, ו-Android 14 העדכנית ביותר באמצעות פרויקט Android קוד פתוח. לאחר מכן, יצרני התקנים יכולים להפיץ את התיקון דרך ערוצי העדכון שלהם. העדכון יידחף אל יצרני המכשירים במהלך הימים הקרובים. לאחר מכן, כל OEM של מכשירי אנדרואיד יצטרך לשלוח תיקון למשתמשים שלו. טלפונים פיקסל Google עשוי להיות הראשון לקבל את התיקון, אך לוחות הזמנים עשויים להשתנות עבור מותגים אחרים.
בהערות לעלון האבטחה שלה מדצמבר, גוגל גם אמרה שהיא גילתה מספר נקודות תורפה קריטיות אחרות במערכת ההפעלה לנייד אנדרואיד שמובילות להעלאת הרשאות וחשיפת מידע המשפיעות על רכיבים Android מסגרת ומערכת. לאור חומרת הבעיות, מומלץ לבעלי מכשירי אנדרואיד לעקוב אחר עדכוני האבטחה של דצמבר ולהתקין אותם ברגע שהם יהיו זמינים.
קרא גם: