Επτά εξαιρετικά κρίσιμες ευπάθειες που επηρεάζουν συσκευές Android και Google Pixel ανακαλύφθηκαν πρόσφατα κατά τη διάρκεια ανάλυσης εφαρμογών κινητής τηλεφωνίας.
Αυτές οι ευπάθειες ασφαλείας, που ανακαλύφθηκαν μέσω του Oversecured Mobile Application Vulnerability Scanner, ενέχουν σημαντικούς κινδύνους για την ιδιωτικότητα των χρηστών και την ασφάλεια των συσκευών. Οι ευπάθειες που επηρεάζουν συσκευές Android και Google Pixel παρακολουθούνται ως εξής:
Δείτε περισσότερα: Το Google Chrome διόρθωσε κρίσιμες ευπάθειες
CVE-2024-0017
Η Google μηνύει την κυβέρνηση των ΗΠΑ για υπερβολή
Νέα ανακάλυψη για τον μεγαλύτερο κρατήρα του Φεγγαριού!
Clone Alpha: Νέο επαναστατικό ανθρωποειδές ρομπότ
CVE-2023-21383
CVE-2024-34719
CVE-2023-20963
CVE-2021-0600
CVE-2023-21292
Οι αναλυτές ασφαλείας στο OverSecured παρατήρησαν ότι όλες αυτές οι ευπάθειες είχαν τοποθετηθεί με την ετικέτα “Υψηλή” σοβαρότητα, και ανάμεσα σε όλες τις 7 αδυναμίες, η “Προεπιλεγμένη Ατέλεια Ρύθμισης WebChromeClient” δεν έλαβε ακόμα το CVE ID.
Επισκόπηση Ευπαθειών
Πρόσβαση στη Γεωτοποθεσία Χρηστών Μέσω Κάμερας
CVE: CVE-2024-0017
Σοβαρότητα: Υψηλή
Επιτρέπει σε μη εξουσιοδοτημένες εφαρμογές να έχουν πρόσβαση σε δεδομένα γεωτοποθεσίας χρηστών μέσω της εφαρμογής Κάμερας.
Προεπιλεγμένη Ατέλεια Ρύθμισης WebChromeClient
Σοβαρότητα: Αρχικά Υψηλή, αργότερα υποβαθμισμένη σε Χαμηλή
Διευκολύνει την κλοπή αυθαίρετων αρχείων λόγω μη ασφαλούς υλοποίησης της λειτουργικότητας επιλογής αρχείων στο WebView.
Διαβάστε ακόμη:
Διαχείριση Λίστας Παράκαμψης VPN
CVE: CVE-2023-21383
Σοβαρότητα: Υψηλή
Επιτρέπει στους hackers να τροποποιούν τις λίστες εφαρμογών παράκαμψης VPN, ενδεχομένως συμπεριλαμβανομένων συστημικών εφαρμογών όπως το Google Chrome.
Εσφαλμένος Έλεγχος Άδειας Bluetooth
CVE: CVE-2024-34719
Σοβαρότητα: Υψηλή
Επιτρέπει την αλληλεπίδραση με το Bluetooth με συστημικά δικαιώματα, παρακάμπτοντας ελέγχους ασφαλείας.
Ασυμφωνία Λογικής Parcel/Unparcel του WorkSource
CVE: CVE-2023-20963
Σοβαρότητα: Υψηλή
Επιτρέπει την εκκίνηση αυθαίρετων στοιχείων με συστημικά δικαιώματα, εκμεταλλευόμενη στην άγρια φύση από την εφαρμογή Pinduoduo.
HTML injection στην Οθόνη Αιτήματος Admin Συσκευής
CVE: CVE-2021-0600
Σοβαρότητα: Υψηλή
Επιτρέπει την εισαγωγή στοιχείων HTML στην οθόνη αιτήματος της διαχείρισης συσκευής.
Παράκαμψη Ελέγχου Ασφαλείας ContentProvider.openFile()
CVE: CVE-2023-21292
Σοβαρότητα: Υψηλή
Επιτρέπει την παράκαμψη εσωτερικών ελέγχων ασφαλείας στη μέθοδο ContentProvider.openFile().
Δείτε επίσης: Το AI εργαλείο OSS-Fuzz της Google εντοπίζει 26 ευπάθειες
Οι ευπάθειες αυτές επηρεάζουν ένα ευρύ φάσμα συσκευών Android, με κάποιες να επηρεάζουν ειδικά τις συσκευές Google Pixel. Οι αδυναμίες μπορεί να επιτρέψουν σε κακόβουλους χρήστες να αυξήσουν τα δικαιώματα, να αποκτήσουν πρόσβαση σε ευαίσθητα δεδομένα και να χειραγωγήσουν τις ρυθμίσεις του συστήματος.
Η Google έχει αντιμετωπίσει τα περισσότερα από αυτά τα ζητήματα μέσω ενημερώσεων ασφαλείας. Ωστόσο, ο χρόνος που απαιτείται για την επιδιόρθωση ορισμένων ευπαθειών, όπως η ασυμφωνία λογικής WorkSource, υπογραμμίζει την ανάγκη για ταχύτερους χρόνους απόκρισης στην αντιμετώπιση κρίσιμων αδυναμιών ασφαλείας.
Η ανακάλυψη αυτών των ευπαθειών επισημαίνει τη σημασία της τακτικής ασφάλειας ελέγχων και της άμεσης επιδιόρθωσης στο κινητό οικοσύστημα. Συνιστάται στους χρήστες να διατηρούν τις συσκευές τους ενημερωμένες με τις τελευταίες ενημερώσεις ασφαλείας για να μειώσουν τους πιθανούς κινδύνους.
Διαβάστε σχετικά: Η Google προειδοποιεί για εκμετάλλευση ευπάθειας στο Android
Για προγραμματιστές και εταιρείες, η ενσωμάτωση σαρωτών ευπαθειών στη διαδικασία ανάπτυξης μπορεί να ενισχύσει σημαντικά την ασφάλεια της εφαρμογής και να προστατεύσει τους χρήστες από πιθανούς hackers.
Πηγή: cybersecuritynews