Новости
Google понадобилось несколько месяцев, чтобы подготовить исправление критической уязвимости Android

Google понадобилось несколько месяцев, чтобы подготовить исправление критической уязвимости Android

Google понадобилось несколько месяцев, чтобы подготовить исправление критической уязвимости Android


Каждый первый понедельник нового месяца Google традиционно публикует бюллетени по безопасности Android, раскрывая все известные уязвимости безопасности и их исправления, представленные самой Google или сторонними производителями. И этот месяц не стал исключением. Свежий бюллетень позволил узнать, что Google исправила, в числе прочих, критическую уязвимость, затрагивающую миллионы устройств Android с чипсетами MediaTek. Вот только эта уязвимость оставалась открытой почти год — о ее существовании стало известно еще в апреле 2019 года.

Оговариваемая уязвимость с идентификатором CVE-2020-0069 — это руткит, поселившийся в прошивке процессора. Как отмечает XDA Developers, эта уязвимость позволяет использовать простой скрипт для рутинга практически любого устройства Android на базе 64-разрядной SoC MediaTek (ей подвержены следующие модели: MT6735, MT6737, MT6738, MT6739, MT6750, MT6753, MT6755, MT6757, MT6758, MT6761, MT6762, MT6763, MT6765, MT6771, MT6779, MT6795, MT6797, MT6799, MT8163, MT8167, MT8173, MT8176, MT8183, MT6580 и MT6595). То есть, ее существование ставит под угрозу сотни бюджетных и средних моделей смартфонов, планшетов и приставок. Используя эту брешь, хакеры могут устанавливать любые приложения, изменять разрешения для существующих приложений, а также получать доступ к личным данным.

По данным источника, данная уязвимость, которую окрестили MediaTek-su, активно используется хакерами для атак. Не так давно разработчик под ником Diplomatic написал рабочий скрипт, использующий эту уязвимость для временного получения root-доступа на планшетах Fire. Скачав и запустив этот скрипт, любой желающий может проверить подвержено ли его устройство этой уязвимости.

И хотя MediaTek выпустила соответствующее исправление еще в мае, она не может заставить производителей внедрить заплатки в свои устройства. В то же время Google может заставить многих OEM-производителей сделать это благодаря лицензионным соглашениям, сообщает XDA Developers. Тем не менее, Google не особо торопилась с выпуском патча. По данным источника,  Google узнала о ней несколько месяцев назад. И это особенно удручает, учитывая, насколько распространен и опасен этот недостаток. Понятно, что ее собственные Pixel были вне опасности, но все же.

Источник: XDA Developers


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: