Vào thứ Hai, Google đã phát hành cập nhật cho Android để sửa hai lỗ hổng zero-day mà 'có thể đang bị tấn công hạn chế, có mục tiêu,' như công ty đã nói. Điều đó có nghĩa là Google nhận thức rằng các hacker đã và có thể vẫn đang sử dụng các lỗ hổng để xâm nhập vào các thiết bị Android trong các tình huống thực tế.
Một trong hai lỗ hổng zero-day đã được sửa, được theo dõi dưới dạng CVE-2024-53197, đã được xác định bởi Tổ chức Amnesty International phối hợp với Benoît Sevens của Nhóm Phân tích Đe dọa của Google, đội bảo mật của đại gia công nghệ này theo dõi các cuộc tấn công mạng được tài trợ bởi chính phủ.
Trong tháng Hai, Amnesty cho biết họ đã phát hiện ra rằng Cellebrite, một công ty bán thiết bị cho cảnh sát để mở khóa và phân tích điện thoại từ xa, đã lợi dụng một chuỗi ba lỗ hổng zero-day để xâm nhập vào điện thoại Android.
Liên hệ với chúng tôi
Bạn có thông tin thêm về các lỗ hổng zero-day trên Android không? Từ thiết bị không phải làm việc, bạn có thể liên hệ với Lorenzo Franceschi-Bicchierai một cách an toàn trên Signal theo số +1 917 257 1382, hoặc qua Telegram và Keybase @lorenzofb, hoặc email. Bạn cũng có thể liên hệ với TechCrunch qua SecureDrop.Trong trường hợp này, Amnesty đã phát hiện ra các lỗ hổng, bao gồm một trong những lỗ hổng được vá vào Thứ Hai, được sử dụng chống một nhà hoạt động sinh viên ở Serbia bởi các cơ quan địa phương trang bị Cellebrite.
Tuy nhiên, hiện chưa có nhiều thông tin về lỗ hổng thứ hai, CVE-2024-53150, được vá vào Thứ Hai, ngoại trừ việc phát hiện của nó cũng được ghi công cho Sevens của Google và lỗ hổng được tìm thấy trong hạt nhân, trái tim của một hệ điều hành.
Google không ngay lập tức phản hồi khi được yêu cầu.
Người phát ngôn của Amnesty, Hajira Maryam, cho biết tổ chức phi lợi nhuận không có gì để chia sẻ trong lúc này.
Công ty công nghệ nói trong hướng dẫn của mình rằng 'một trong những vấn đề nghiêm trọng nhất là một lỗ hổng bảo mật lớn trong thành phần Hệ thống có thể dẫn đến tăng cường đặc quyền từ xa mà không cần thêm quyền thực thi nào cần thiết,' và rằng, 'không cần tương tác người dùng cho việc khai thác.' Google nói rằng họ sẽ đưa các bản vá mã nguồn cho hai lỗ hổng zero-day được sửa trong vòng 48 giờ từ hướng dẫn, đồng thời lưu ý rằng các đối tác Android 'được thông báo về tất cả các vấn đề ít nhất một tháng trước khi xuất bản.'
Do tính mã nguồn mở của Android, mỗi nhà sản xuất điện thoại giờ đây đều phải đưa các bản vá ra cho người dùng của mình.
Câu chuyện này đã được cập nhật để bao gồm phản hồi từ Amnesty.
