25 декабря 2024 года Amnesty International опубликовала анализ, согласно которому уязвимость нулевого дня позволила разблокировать Android-устройство 23-летнего сербского активиста, известного под псевдонимом «Ведран», чей телефон Samsung Galaxy A32 был изъят полицией после студенческого протеста в Белграде.
Эксплойт представлял собой цепочку атак, нацеленных на драйверы USB в Android, в частности, уязвимость в UVC-драйвере ядра Linux. Основная уязвимость, зарегистрированная как CVE-2024-53104, получила оценку CVSS 7.8; патч для Linux вышел в декабре 2024 года, а обновление для Android было выпущено ранее в отчётном месяце.
Помимо этого, CVE-2024-53104 была использована в сочетании с двумя другими дефектами: CVE-2024-53197, представляющей собой уязвимость выхода за пределы массива для устройств Extigy и Mbox, и CVE-2024-50302, связанной с использованием неинициализированного ресурса, что может приводить к утечке памяти ядра (CVSS 5.5). Оба этих дефекта устранены в ядре Linux, однако обновления для Android Security Bulletin пока не выпущены.
Эксплуатация уязвимости позволяла клиентам Cellebrite, имеющим физический доступ к заблокированному устройству, обойти экран блокировки и получить привилегированный доступ к телефону. Данный случай привлекает внимание к уязвимости Android-экосистемы, обусловленной наследием устаревших USB-драйверов ядра Linux.
Анализ Amnesty International выявил, что после разблокировки устройства злоумышленники попытались установить на телефон неизвестное Android-приложение, схожее по поведению с NoviSpy, обнаруженным в середине декабря 2024 года. Это произошло вскоре после задержания активиста и конфискации его смартфона на фоне протестных акций в Белграде.
Израильская компания Cellebrite, разработчик используемых инструментов для разблокировки устройств, заявила, что их технологии не предназначены для наступательной кибер-активности и предпринимают меры по предотвращению их злоупотребления. В ответ на произошедшее компания объявила о прекращении использования своих продуктов в Сербии, отметив: «Мы сочли необходимым прекратить использование нашей продукции соответствующими клиентами в данный момент».
Использование нулевого дня для обхода систем безопасности подчеркивает проблемы защиты Android-устройств, связанные с устаревшими драйверами в ядре Linux, и демонстрирует, насколько критично обновление и защита программного обеспечения в условиях постоянного совершенствования технологий для обеспечения безопасности пользователей.
Изображение носит иллюстративный характер
Эксплойт представлял собой цепочку атак, нацеленных на драйверы USB в Android, в частности, уязвимость в UVC-драйвере ядра Linux. Основная уязвимость, зарегистрированная как CVE-2024-53104, получила оценку CVSS 7.8; патч для Linux вышел в декабре 2024 года, а обновление для Android было выпущено ранее в отчётном месяце.
Помимо этого, CVE-2024-53104 была использована в сочетании с двумя другими дефектами: CVE-2024-53197, представляющей собой уязвимость выхода за пределы массива для устройств Extigy и Mbox, и CVE-2024-50302, связанной с использованием неинициализированного ресурса, что может приводить к утечке памяти ядра (CVSS 5.5). Оба этих дефекта устранены в ядре Linux, однако обновления для Android Security Bulletin пока не выпущены.
Эксплуатация уязвимости позволяла клиентам Cellebrite, имеющим физический доступ к заблокированному устройству, обойти экран блокировки и получить привилегированный доступ к телефону. Данный случай привлекает внимание к уязвимости Android-экосистемы, обусловленной наследием устаревших USB-драйверов ядра Linux.
Анализ Amnesty International выявил, что после разблокировки устройства злоумышленники попытались установить на телефон неизвестное Android-приложение, схожее по поведению с NoviSpy, обнаруженным в середине декабря 2024 года. Это произошло вскоре после задержания активиста и конфискации его смартфона на фоне протестных акций в Белграде.
Израильская компания Cellebrite, разработчик используемых инструментов для разблокировки устройств, заявила, что их технологии не предназначены для наступательной кибер-активности и предпринимают меры по предотвращению их злоупотребления. В ответ на произошедшее компания объявила о прекращении использования своих продуктов в Сербии, отметив: «Мы сочли необходимым прекратить использование нашей продукции соответствующими клиентами в данный момент».
Использование нулевого дня для обхода систем безопасности подчеркивает проблемы защиты Android-устройств, связанные с устаревшими драйверами в ядре Linux, и демонстрирует, насколько критично обновление и защита программного обеспечения в условиях постоянного совершенствования технологий для обеспечения безопасности пользователей.
