گوگل برای ۶۲ آسیبپذیری وصلههایی منتشر کرده است[۱] که دو مورد از آنها (در اندروید) در سطح اینترنت مورد بهرهبرداری قرارگرفتهاند.
دو آسیبپذیری با شدت بالا در زیر فهرست شدهاند:
- CVE-2024-53150 (امتیاز ۷٫۸ در CVSS) – یک نقص خارج از محدوده در مؤلفه فرعی USB هسته که میتواند منجر به افشای اطلاعات شود.
- CVE-2024-53197 (امتیاز ۷٫۸ در CVSS) – یک نقص افزایش امتیاز در مؤلفه فرعی USB کرنل
گوگل در بولتن امنیتی ماهانه خود برای آوریل ۲۰۲۵ گفت: «جدیترین این مشکلات یک آسیبپذیری امنیتی حیاتی در مؤلفه «سیستم» است که میتواند منجر به افزایش از راه دور امتیاز بدون نیاز به مجوزهای اجرایی اضافی شود.»
این غول فناوری همچنین اذعان کرد که هر دو نقص ممکن است تحت “بهرهبرداری محدود و هدفمند” قرار گرفته باشند.
شایانذکر است که CVE-2024-53197 در هسته لینوکس ریشه دارد و سال گذشته در کنار CVE-2024-53104 و CVE-2024-50302 وصله شد. گفته میشود که هر سه آسیبپذیری، طبق گفته عفو بینالملل، برای شکستن گوشی اندرویدی یک فعال جوان صرب در دسامبر ۲۰۲۴ به هم زنجیر شدهاند[۲].
درحالیکه CVE-2024-53104 توسط گوگل در فوریه ۲۰۲۵ موردبررسی قرار گرفت[۳]، CVE-2024-50302 در ماه گذشته اصلاح شد[۴]. با آخرین بهروزرسانی، هر سه آسیبپذیری برطرف شدهاند و بهطور مؤثر مسیر بهرهبردار را مسدود میکنند.
در حال حاضر هیچ جزئیاتی در مورد اینکه CVE-2024-53150 چگونه در حملات دنیای واقعی مورد بهرهبرداری قرار گرفته است وجود ندارد. به کاربران دستگاههای اندروید توصیه میشود که بهروزرسانیها را در زمانی که سازندگان تجهیزات اصلی اندروید (OEM) منتشر میکنند، اعمال کنند.
بهروزرسانی
هنگامیکه برای اظهارنظر در مورد CVE-2024-53150 تماس گرفتیم، گوگل به هکر نیوز گفت که قرار است گزارش عفو بینالملل را به تعویق بی اندازد که نشان میدهد این آسیبپذیری نیز بهعنوان بخشی از همان زنجیره مورد بهرهبرداری قرار گرفته است.
گوگل در بیانیهای که در ۹ آوریل ۲۰۲۵ با این نشریه به اشتراک گذاشته شد، تأیید کرد که هر دو آسیبپذیری روز صفر واقعاً توسط Cellebrite استفاده شده است. در اقدامی مرتبط، آژانس امنیت سایبری و امنیت زیرساخت ایالاتمتحده (CISA) دو نقص هسته لینوکس را به کاتالوگ آسیبپذیریهای مورد بهرهبرداری شناختهشده ([۵]KEV) خود اضافه کرد[۶] و از سازمانهای فدرال خواست که این وصلهها را تا ۳۰ آوریل ۲۰۲۵ اعمال کنند.
(این خبر پس از انتشار بهروز شد تا شامل پاسخی از طرف گوگل باشد.)
منابع[۱] https://source.android.com/docs/security/bulletin/2025-04-01
[۲] https://thehackernews.com/2025/02/amnesty-finds-cellebrites-zero-day.html
[۳] https://thehackernews.com/2025/02/google-patches-47-android-security.html
[۴] https://thehackernews.com/2025/03/googles-march-2025-android-security.html
[۵] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۶] https://www.cisa.gov/news-events/alerts/2025/04/09/cisa-adds-two-known-exploited-vulnerabilities-catalog
[۷] https://thehackernews.com/2025/04/google-releases-android-update-to-patch.html
ثبت ديدگاه