Исправления закрывают эксплойты, использовавшиеся сербской полицией через инструменты Cellebrite.
Google выпустила апрельское обновление безопасности Android, закрыв сразу 62 уязвимости, включая две нулевого дня, активно использовавшиеся в целевых атаках. Одной из них стала уязвимость с высоким уровнем опасности (CVE-2024-53197 ), связанная с повышением привилегий в драйвере USB-audio для устройств ALSA в ядре Linux. По данным, опубликованным исследователями, эта уязвимость входила в цепочку эксплойтов, разработанную израильской компанией Cellebrite и использованную сербскими властями для разблокировки изъятых Android-устройств.
Ранее в этой же цепочке эксплойтов уже фигурировали уязвимости в USB Video Class (CVE-2024-53104), устранённая в феврале, и в устройствах ввода HID (CVE-2024-50302), закрытая в марте. Обнаружение всей цепочки произошло в середине 2024 года специалистами Security Lab организации Amnesty International, изучавшими логи устройств, разблокированных сербской полицией.
Google сообщила, что знала об этих уязвимостях заранее и передала исправления производителям ещё в январе. Представитель компании уточнил, что обновления были отправлены OEM-партнёрам 18 января в рамках специального уведомления.
Вторая закрытая в апреле уязвимость нулевого дня ( CVE-2024-53150 ) касается утечки информации из ядра Android. Она обусловлена ошибкой чтения за пределами допустимого диапазона памяти и позволяет локальному атакующему получать доступ к чувствительным данным на устройстве без взаимодействия с пользователем.
Помимо этого, обновление устраняет ещё 60 уязвимостей, большая часть которых также относится к повышению привилегий и имеет высокий уровень серьёзности.
Google традиционно выпускает два уровня обновлений безопасности: 1 апреля (2025-04-01) и 5 апреля (2025-04-05 ). Последний охватывает исправления из первого и дополнительно включает патчи для компонентов с закрытым исходным кодом и модулей ядра, которые могут быть неактуальны для всех устройств. Смартфоны Pixel получают обновления сразу, тогда как другие производители часто задерживают выпуск, тестируя совместимость с конкретным оборудованием.
Интересно, что в ноябре 2024 года Google уже закрывала ещё одну уязвимость нулевого дня ( CVE-2024-43047 ), которую исследователи Project Zero зафиксировали в активной эксплуатации сербскими властями. Она использовалась в шпионской кампании NoviSpy против активистов, журналистов и участников протестов.