Google пусна априлската си актуализация на сигурността на Android, затваряйки наведнъж 62 уязвимости, включително две уязвимости от типа „нулев ден“, използвани активно при целенасочени атаки. Едната от тях е високорискова уязвимост, обозначена като CVE-2024-53197. Тя е свързана с повишаване на привилегиите в USB-аудио драйвера за ALSA устройства в ядрото на Linux.

Според данни, публикувани от изследователите, тази уязвимост е била част от верига от експлойти, разработена от израелската компания Cellebrite и използвана от сръбските власти за отключване на конфискувани Android-устройства.

Същата верига от експлойти преди това включваше уязвимости в USB Video Class (CVE-2024-53104), която беше поправена през февруари, и в HID входни устройства (CVE-2024-50302), която беше затворена през март. Откриването на цялата верига се случи в средата на миналата година от Лабораторията за сигурност на Amnesty International, която разследва логове на устройства, отключени от сръбската полиция.

Google заяви, че е знаела за уязвимостите предварително и е изпратила кръпки на производителите още през януари. Говорител на компанията уточни, че актуализациите са били изпратени на OEM партньорите на 18 януари като част от специално известие.

Втората уязвимост от типа „нулев ден“, затворена през април (CVE-2024-53150), се отнася до изтичане на информация от ядрото на Android. Тя се причинява от грешка при четене извън валидния обхват на паметта и позволява на локален нападател да получи достъп до чувствителни данни на устройството без взаимодействие с потребителя.

Освен това актуализацията адресира 60 други уязвимости, повечето от които също са свързани с повишаване на привилегиите и имат високо ниво на сериозност.

Google традиционно пуска актуализации за сигурност на две нива: на 1 и на 5 април. Втората обхваща поправките от първата и допълнително включва кръпки за компоненти със затворен код и модули на ядрото, които може да не са подходящи за всички устройства. Смартфоните Pixel получават актуализациите веднага, докато други производители често забавят пускането им, като тестват съвместимостта с конкретния хардуер.

Интересно е, че Google вече е затворила друга уязвимост от типа „нулев ден“ (CVE-2024-43047) през ноември 2024 гoдина, за която изследователите от Project Zero са регистрирали, че се използва активно от сръбските власти. Тя е била използвана в кампанията за шпионаж NoviSpy срещу активисти, журналисти и протестиращи.