Google objevil v Androidu „kritickou bezpečnostní chybu“, která umožňuje hackerům na dálku spustit kód na vašem telefonu. Uvedl to ve svém prosincovém bezpečnostním bulletinu. Společnost již poskytla výrobcům zařízení s Androidem opravu, každý z nich však bude muset vydat vlastní aktualizaci, aby tuto chybu opravil.
Chyba nese v bezpečnostním bulletinu Googlu označení CVE-2023-40088 a pod stejným je uvedena i v americké bezpečnostní databázi National Vulnerability Database (NVD). Podle NVD se problém objeví, když se androidový smartphone pokusí spustit akci callback_thread_event com_android_bluetooth_btservice_AdapterService.cpp. Během této akce prý může dojít k poškození paměti zranitelností typu use-after-free.
Tento problém v podstatě způsobuje, že androidové telefony přistupují k akci com_android_bluetooth_btservice_AdapterService.cpp bez autorizace poté, co již byla uvolněna paměť systému. To by mohlo umožnit útočníkům vzdálený přístup k telefonu a spuštění kódu bez nutnosti jakékoli akce ze strany uživatele.
I když lze tento exploit provést na dálku, je potřeba dodat, že potenciální útočník musí být relativně blízko vás, aby fungoval. Lze jej zneužít prostřednictvím bezdrátového připojení Wi-Fi, Bluetooth nebo NFC.
Google poslal výrobcům opravu prostřednictvím projektu Android Open Source Project pro verze Androidu 11, 12, 12L, 13 a 14. Google ani NVD neuvedly, jestli chybu již někdo zneužil. Google o ní pravděpodobně neposkytne více informací, dokud její oprava nedorazí na většinu zařízení, které může ohrozit (tedy ty, které běží na zmíněných verzích Androidu). Oprava této chyby je součástí prosincového bezpečnostního patche Samsungu, kterou by měl korejský obr začít vydávat v příštích dnech.