A Google kiadta a 2025. márciusi biztonsági frissítést, amely 43 sebezhetőséget orvosol az Android rendszerben, köztük két, célzott támadásokban kihasznált nulladik napi (zero-day) hibát.

Nulladik napi sebezhetőségek kihasználása

Az egyik kritikus információszivárgási sebezhetőség a Linux kernel Human Interface Devices (HID) illesztőprogramjában található (CVE-2024-50302). Ezt a hibát a szerb hatóságok használták fel lefoglalt eszközök feloldására, egy izraeli digitális kriminalisztikai cég, a Cellebrite által kifejlesztett Android nulladik napi exploit lánc részeként. Az exploit lánc tartalmazott egy USB Video Class nulladik napi hibát (CVE-2024-53104) és egy ALSA USB-hang illesztőprogram nulladik napi hibát is. Ezeket az Amnesty International Biztonsági Laborja fedezte fel 2024 közepén, miközben egy szerb hatóságok által feloldott eszköz naplóit elemezték.

A második nulladik napi hiba (CVE-2024-43093) részletei nem kerültek nyilvánosságra, de a Google megerősítette, hogy ezt is célzott támadásokban használták ki. A Google szóvivője elmondta, hogy a vállalat már a jelentések előtt tudott ezekről a sebezhetőségekről, és gyorsan kifejlesztette a javításokat az Android számára. A hibajavításokat január 18-án osztották meg az eredeti eszközgyártó partnerekkel egy partneri tanácsadó keretében.

Felhasználói teendők

A felhasználóknak javasolt mielőbb telepíteni a legújabb biztonsági frissítéseket eszközeikre, hogy védettek legyenek ezekkel a sebezhetőségekkel szemben. A frissítések elérhetősége eszközönként és gyártónként változhat, ezért érdemes rendszeresen ellenőrizni a frissítések elérhetőségét a beállítások menüben.

A Google folyamatosan dolgozik az Android rendszer biztonságának növelésén, és szorosan együttműködik partnereivel a felhasználók védelme érdekében.

Források: Google fixes Android zero-day exploited by Serbian authorities