Η Google κυκλοφόρησε τις ενημερώσεις ασφαλείας Android του Φεβρουαρίου 2022, αντιμετωπίζοντας δύο κρίσιμα τρωτά σημεία, το ένα είναι η απομακρυσμένη κλιμάκωση των προνομίων που δεν απαιτεί αλληλεπίδραση με τον χρήστη.
Η ευπάθεια παρακολουθείται ως CVE-2021-39675, με βαθμολογία «κρίσιμης» σοβαρότητας και επηρεάζει μόνο το Android 12, την πιο πρόσφατη έκδοση του δημοφιλούς λειτουργικού συστήματος.
Αυτά τα ελαττώματα συνήθως αξιοποιούνται από εξελιγμένους προμηθευτές spyware που ανακαλύπτουν ανεξάρτητα και χρησιμοποιούν ιδιωτικά zero-days σε λειτουργικά συστήματα κινητής τηλεφωνίας. Ωστόσο, σε αυτήν την περίπτωση, η Google δεν έχει δει σημάδια ενεργητικής εκμετάλλευσης.
Το δεύτερο κρίσιμο ελάττωμα που αντιμετωπίζεται από την ενημέρωση ασφαλείας του Φεβρουαρίου 2022 είναι το CVE-2021-30317, το οποίο επηρεάζει ένα στοιχείο κλειστού κώδικα της Qualcomm και, επομένως, αφορά μόνο συσκευές Android που χρησιμοποιούν το υλικό αυτού του προμηθευτή.
Όπως διευκρινίζει η Google στο ενημερωτικό δελτίο: “Η αξιολόγηση σοβαρότητας βασίζεται στην επίδραση που θα είχε η εκμετάλλευση της ευπάθειας σε έναν επηρεαζόμενο συσκευή, υποθέτοντας ότι η πλατφόρμα και τα μέτρα μετριασμού της υπηρεσίας είναι απενεργοποιημένα για σκοπούς ανάπτυξης ή εάν παρακαμφθούν επιτυχώς.”
Οι τεχνικές λεπτομέρειες σχετικά με τις ευπάθειες δεν είναι διαθέσιμες αυτήν τη στιγμή, καθώς οι ενημερώσεις Android χρειάζονται συνήθως αρκετούς μήνες για να φτάσουν σε ένα αξιοσέβαστο ποσοστό της βάσης χρηστών, δεδομένου ότι οι προμηθευτές πρέπει να τις ομαδοποιούν ξεχωριστά για κάθε μοντέλο συσκευής.
Η μόνη εξαίρεση σε αυτήν την πρακτική είναι οι συσκευές Pixel της ίδιας της Google, με όλα τα μοντέλα από «3a» έως «6 Pro» να λαμβάνουν ήδη την ενημέρωση ασφαλείας του Φεβρουαρίου 2022 σε ταυτόχρονη κυκλοφορία.
Τέλος, οι διορθώσεις που συνοδεύουν την ενημέρωση αυτού του μήνα αφορούν τα Android 10, 11 και 12, επομένως εάν το τηλέφωνό σας εκτελεί κάτι παλαιότερο από αυτό, δεν καλύπτεστε πλέον και θα πρέπει να θεωρήσετε τη συσκευή σας ως ευθύνη ασφαλείας.