Каждый первый понедельник нового месяца Google традиционно публикует бюллетени по безопасности Android, раскрывая все известные уязвимости безопасности и их исправления, представленные самой Google или сторонними производителями. И этот месяц не стал исключением. Свежий бюллетень позволил узнать, что Google исправила, в числе прочих, критическую уязвимость, затрагивающую миллионы устройств Android с чипсетами MediaTek. Вот только эта уязвимость оставалась открытой почти год — о ее существовании стало известно еще в апреле 2019 года.
Оговариваемая уязвимость с идентификатором CVE-2020-0069 — это руткит, поселившийся в прошивке процессора. Как отмечает XDA Developers, эта уязвимость позволяет использовать простой скрипт для рутинга практически любого устройства Android на базе 64-разрядной SoC MediaTek (ей подвержены следующие модели: MT6735, MT6737, MT6738, MT6739, MT6750, MT6753, MT6755, MT6757, MT6758, MT6761, MT6762, MT6763, MT6765, MT6771, MT6779, MT6795, MT6797, MT6799, MT8163, MT8167, MT8173, MT8176, MT8183, MT6580 и MT6595). То есть, ее существование ставит под угрозу сотни бюджетных и средних моделей смартфонов, планшетов и приставок. Используя эту брешь, хакеры могут устанавливать любые приложения, изменять разрешения для существующих приложений, а также получать доступ к личным данным.
По данным источника, данная уязвимость, которую окрестили MediaTek-su, активно используется хакерами для атак. Не так давно разработчик под ником Diplomatic написал рабочий скрипт, использующий эту уязвимость для временного получения root-доступа на планшетах Fire. Скачав и запустив этот скрипт, любой желающий может проверить подвержено ли его устройство этой уязвимости.
И хотя MediaTek выпустила соответствующее исправление еще в мае, она не может заставить производителей внедрить заплатки в свои устройства. В то же время Google может заставить многих OEM-производителей сделать это благодаря лицензионным соглашениям, сообщает XDA Developers. Тем не менее, Google не особо торопилась с выпуском патча. По данным источника, Google узнала о ней несколько месяцев назад. И это особенно удручает, учитывая, насколько распространен и опасен этот недостаток. Понятно, что ее собственные Pixel были вне опасности, но все же.
Источник: XDA Developers