Google знаходить нульовий день Android, використовуючи впливає на пікс

Google знаходить нульовий день Android, використовуючи впливає на пікс

Черговий день, ще один звіт про експлуатацію безпеки від команди Google Project Project Zero. Цього разу вразливість полягає у власній операційній системі Android компанії, що, без сумніву, порадує Apple. Експлуатація впливає на кілька телефонів від Google, Samsung, Huawei та інших. Також Google зазначає, що є дані про те, що цей досвід в природі вже активний.

Уразливість є частиною ядра системи Android і може дозволити зловмиснику отримати кореневий доступ по телефону. Це означає, що вони могли отримати доступ до даних, змінювати системні програми, відстежувати ваше місцезнаходження та багато іншого. Як не дивно, компанія Google виявила цю вразливість наприкінці 2017 року та додала виправлення до коду Android. Однак патч не переносився на новіші версії Android (8.0 та новіших версій) на деяких телефонах.

В даний час Google визначив кілька телефонів, які можна використовувати через цей недолік ядра, включаючи, але не обмежуючись ними, власний Pixel 2 Google, Huawei P20, Xiaomi Redmi Note 5, телефони Oreo від LG та сімейство Samsung Galaxy S8 через S9. Оскільки експлуатація існує на дуже низькому рівні в системі, вона майже не потребує індивідуального налаштування.

Google заявляє, що ізраїльська охоронна фірма NSO Group активно використовує експлойт, заява компанії заперечує. NSO може просто заперечувати, що займається будь-якими хакерствами, і це може бути правдою - це може просто допомагати іншим робити це. Група NSO вже давно перебуває під обстрілом за виготовлення інструментів для злому мобільних телефонів, які вона продає утискаючим урядам, які використовують їх, щоб шпигувати за активістами та протестуючими.

Доказ Google від концепції громадського пошуку помилок.
Доказ Google від концепції громадського пошуку помилок.

Уразливість за нульовий день ніколи не є доброю справою, але ця могла бути набагато гіршою. Єдиний спосіб пошкодити пристрій із цією вразливістю - встановити додаток. Це не недолік у віддаленому виконанні коду, тому Google оцінив вразливість як "високу", а не "серйозну". Система Google Play Protect знає про цей подвиг, тому вона ніколи не повинна з'являтися в жодних схематичних додатках Play Store. Таким чином, єдиний спосіб заразити пристрій - це обдурити когось із завантаженням APK через браузер чи інший додаток. Користувачам доведеться перестрибувати кілька обручів, щоб це сталося завдяки сучасній моделі безпеки Android.

Найновіші патчі системи Google за жовтень стискають цю помилку раз і назавжди. Пристрої Google, такі як Pixel 2, можливо, отримають це оновлення найближчими днями. Однак іншим уразливим телефонам доведеться чекати, коли OEM-виробники створять нові спеціалізовані версії ОС. Тим часом будьте уважні, що встановите з тінистих куточків Інтернету.

Читати далі

Час оновлення: Google патчі 2 серйозні вразливості Chrome до нульового дня
Час оновлення: Google патчі 2 серйозні вразливості Chrome до нульового дня

На відміну від останніх кількох нульових днів, Google сам не знайшов цих дір у безпеці. Натомість його отримали анонімні сторонні сторони, і проблеми досить серйозні, що він не опублікував повної інформації. Досить сказати, що вам слід припинити відкладати це оновлення.

Aurora 7 - це дивовижний 26-кілограмовий ноутбук із 7 дисплеями, нульовим призначенням
Aurora 7 - це дивовижний 26-кілограмовий ноутбук із 7 дисплеями, нульовим призначенням

Expanscape Aurora 7 - це 26-фунтовий, 28-хвилинний, 7-панельний ноутбук вашої мрії.

GTX 1050 Ti їзди знову: 2016 бюджет GPU повертається з нульовим поліпшенням, підвищена ціна
GTX 1050 Ti їзди знову: 2016 бюджет GPU повертається з нульовим поліпшенням, підвищена ціна

Це кінець Q1 2021. Давайте відзначимо постійну недоступність відеокарт, насолоджуючись відновленням GTX 1050 Ti, 4,5-річного продажу GPU протягом майже 1,5x більше грошей, ніж у запуску.

Прорив слухає проект сканує 60 мільйонів зірок, знаходить нульові іноземці
Прорив слухає проект сканує 60 мільйонів зірок, знаходить нульові іноземці

Вчені з прориву слухати проект зайняв мантію пошуку позаземного інтелекту (SETI) кілька років тому, продовжуючи десятиліття-довгий пошук et. Проект тільки що випустив найбільший обстеження на сьогодні, що складається з більш ніж 60 мільйонів зірок ... і немає іноземців.