Riziková chyba v Androidu
V nejnovější květnové aktualizaci zabezpečení pro Android vývojáři reagují na obzvlášť citlivou chybu. Je katalogizována pod označením CVE-2025-27363. Hackeři na ni útočili už dříve – ještě předtím, než Google připravil opravu. Umožňuje spuštění kódu bez potřeby jakékoliv interakce uživatele. V rámci standardu hodnocení rizik CVSS obdržela skóre 8,1, což značí vysokou nebezpečnost.
Zranitelnost se nachází v široce používané open source knihovně FreeType, kterou Android používá k zobrazování různých písem. O chybě informovali bezpečnostní experti z firmy Meta (dříve Facebook), kteří ji objevili už v březnu tohoto roku. Už tehdy upozornili na skutečnost, že se jedná o bezpečnostní díru, která postihuje především koncové uživatele.
Mohlo by vás zajímat
Vývojáři odstranili celkem 46 bezpečnostních chyb
Kromě uvedené chyby opravuje nejnovější květnová aktualizace dalších 45 zranitelností v Androidu. Jde o chyby, které se vyskytují v jádru systému, frameworku, ale postihují i různé ovladače.
Pokud máte podezření, že k vašemu smartphonu přistupuje někdo jiný, existuje několik typických příznaků, podle kterých byste to mohli poznat. A pokud se domníváte, že jde dokonce o hackerský útok, je třeba jednat velmi rychle.
Mohlo by vás zajímat
Důležité podrobnosti květnového updatu
V rámci nejnovější aktualizace se instaluje opravená verze knihovny FreeType, jejíž označení verze je 2.13.0. Ta již obsahuje opravu objevené chyby a tedy zmírňuje dopad případných hackerských útoků, které jsou na ni aktivně vedeny.
Zranitelnost lze zneužít na lokální úrovni, tedy konkrétně na napadeném smartphonu. Jde o obzvlášť nebezpečný scénář – vektor útoku –, který může vyústit v manipulaci se zařízením či špionáž jeho uživatele.
Květnová aktualizace také opravuje osm zranitelností jádra a 15 chyb modulu framework, které mohu být zneužity mimo jin i pro vedení útoků typu DoS nebo únik dat.
Mohlo by vás zajímat
Aktualizaci OTA (over-the-air, vzduchem, není potřeba propojení s počítačem) již Google uvolnil a postupně se šíří na podporované smartphony. Pokud jste ji ještě neobdrželi, očekávejte její doručení během několika následujících dnů.
Pakliže nechcete čekat na automatický update, raději zkontrolujte, zda už náhodou není patch pro vaše zařízení připraven a pokud ano, bez zbytečných odkladů jej instalujte. Na nejrizikovější zranitelnost již existuje exploit – spustitelný kód, který ji zneužívá – čili každá minuta se počítá. Zvlášť pokud jsou útoky již aktivně vedeny, což je přesně tento případ.
Zdroj: The Hacker News
video
5 foto
