Đã giải quyết Đúng như dự kiến, Google vừa phát hành bản tin bảo mật Android tháng 3 năm 2025. Nhóm này giải thích rằng đã phát hiện 43 lỗ hổng trong mã hệ điều hành điện thoại thông minh của mình. Trong số các lỗ hổng được phát hiện, có 11 lỗ hổng có mức độ nghiêm trọng cao và 10 lỗ hổng có mức độ nghiêm trọng nghiêm trọng. phê bình. Như thường lệ, Google xếp hạng tất cả các lỗ hổng theo mức độ rủi ro, theo ba cấp độ sau: trung bình, cao và nghiêm trọng.
Vụ vi phạm đầu tiên đã được Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), ‘Cơ quan An ninh mạng và cơ sở hạ tầng an ninh của Hoa Kỳ, nêu bật từ tháng 11 năm 2024. Nó cho phép kẻ tấn công tăng quyền truy cập của họ mà không cần thêm quyền. Cuối cùng, lỗ hổng này cho phép đánh cắp dữ liệu nhạy cảm hoặc xâm phạm toàn bộ hệ thống, đặc biệt là bằng cách cài phần mềm độc hại.
Việc khai thác lỗ hổng này đòi hỏi sự tương tác của người dùng. Nếu không rơi vào bẫy, tên cướp biển sẽ không thể đạt được mục đích. Nó ảnh hưởng đến tất cả các thiết bị chạy Android, đặc biệt là các phiên bản từ 11 đến 14.
Lỗ hổng này đã được cảnh sát Serbia sử dụng để theo dõi các nhà báo hoặc nhà hoạt động. Các nhân viên thực thi pháp luật đã lợi dụng chuyến thăm đồn cảnh sát hoặc cuộc thẩm vấn để đưa một loại vi-rút gián điệp có tên NoviSpy vào điện thoại của mục tiêu.
Tháng này, Google đã triển khai ngày bảo mật hai cược. Bên cạnh bản vá hàng tháng cổ điển, các bản vá bổ sung đã được phát hành để khắc phục lỗ hổng trong một số thành phần của bên thứ ba cũng như trong hạt nhân Android. Phương pháp này mang lại sự linh hoạt hơn cho các nhà sản xuất điện thoại thông minh Android.
Google vừa tích hợp mã bản vá vào AOSP (Dự án nguồn mở Android), cho phép các nhà sản xuất thiết bị kết hợp các bản cập nhật này vào giao diện được cá nhân hóa của họ. Tốc độ Tốc độ triển khai các bản vá này tới người dùng hiện phụ thuộc vào trình xây dựng khả năng phản hồi. Để kiểm tra xem bản sửa lỗi đã được đề xuất trên điện thoại thông minh của bạn hay chưa, hãy vào menu Cài đặt, sau đó đến À Về thiết bị và trong Cập nhật phần mềm. Nếu có bản cập nhật mới, chỉ cần nhấp vào Bắt đầu ngày cập nhật.
Nguồn: Android
Một lỗ hổng cho phép đánh cắp dữ liệu
Trên hết, Google nêu bật hai lỗ hổng có thể "bị khai thác hạn chế và có mục tiêu". Tóm lại, tội phạm mạng hiện đang sử dụng cả hai lỗ hổng để thực hiện các cuộc tấn công vào các mục tiêu rất cụ thể. Đây không phải là một cuộc tấn công mạng. các hoạt động quy mô lớn nhưng kín đáo với các mục tiêu rất cụ thể.Vụ vi phạm đầu tiên đã được Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), ‘Cơ quan An ninh mạng và cơ sở hạ tầng an ninh của Hoa Kỳ, nêu bật từ tháng 11 năm 2024. Nó cho phép kẻ tấn công tăng quyền truy cập của họ mà không cần thêm quyền. Cuối cùng, lỗ hổng này cho phép đánh cắp dữ liệu nhạy cảm hoặc xâm phạm toàn bộ hệ thống, đặc biệt là bằng cách cài phần mềm độc hại.
Việc khai thác lỗ hổng này đòi hỏi sự tương tác của người dùng. Nếu không rơi vào bẫy, tên cướp biển sẽ không thể đạt được mục đích. Nó ảnh hưởng đến tất cả các thiết bị chạy Android, đặc biệt là các phiên bản từ 11 đến 14.
Một lỗ hổng bị cảnh sát Serbia khai thác
Lỗ hổng thứ hai liên quan đến hạt nhân Linux và thành phần HID (Thiết bị giao diện con người) của nó, thành phần quản lý tương tác với người dùng. Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể đọc được các vùng bộ nhớ nhạy cảm của hạt nhân, có khả năng làm giảm hiệu suất hệ thống. Để khai thác lỗ hổng này, kẻ tấn công phải có quyền truy cập cục bộ và đặc quyền hạn chế trên hệ thống. Được khai thác như một phần của chuỗi tấn công, nó cho phép phần mềm độc hại được đưa vào điện thoại thông minh của mục tiêu.Lỗ hổng này đã được cảnh sát Serbia sử dụng để theo dõi các nhà báo hoặc nhà hoạt động. Các nhân viên thực thi pháp luật đã lợi dụng chuyến thăm đồn cảnh sát hoặc cuộc thẩm vấn để đưa một loại vi-rút gián điệp có tên NoviSpy vào điện thoại của mục tiêu.
Tháng này, Google đã triển khai ngày bảo mật hai cược. Bên cạnh bản vá hàng tháng cổ điển, các bản vá bổ sung đã được phát hành để khắc phục lỗ hổng trong một số thành phần của bên thứ ba cũng như trong hạt nhân Android. Phương pháp này mang lại sự linh hoạt hơn cho các nhà sản xuất điện thoại thông minh Android.
Google vừa tích hợp mã bản vá vào AOSP (Dự án nguồn mở Android), cho phép các nhà sản xuất thiết bị kết hợp các bản cập nhật này vào giao diện được cá nhân hóa của họ. Tốc độ Tốc độ triển khai các bản vá này tới người dùng hiện phụ thuộc vào trình xây dựng khả năng phản hồi. Để kiểm tra xem bản sửa lỗi đã được đề xuất trên điện thoại thông minh của bạn hay chưa, hãy vào menu Cài đặt, sau đó đến À Về thiết bị và trong Cập nhật phần mềm. Nếu có bản cập nhật mới, chỉ cần nhấp vào Bắt đầu ngày cập nhật.
Nguồn: Android
