A Google hirtelen megerősítette egy súlyos új nulladik napi fenyegetés létezését az Android készülékekre, amely valószínűleg azonnali javítást kap a Pixel eszközökön, míg a Galaxy felhasználók várakozni kényszerülnek a frissítésre. Ez az aggasztó biztonsági különbség egyre valóságosabbá válik a Pixel és a Galaxy között.
A Google figyelmeztetése szerint vannak jelei annak, hogy a CVE-2024-36971 nevű sebezhetőséget korlátozott, célzott támadásokban már kihasználják. A Google megerősítette, hogy az Android augusztusi biztonsági frissítésébe bekerült egy javítás egy Android kernel sebezhetőségre, amely „távoli kódfuttatáshoz vezethet rendszerszintű végrehajtási jogosultságokkal”.
Ironikus módon a Samsung szinte egyidőben jelentette be saját augusztusi biztonsági frissítésének részleteit a Google új figyelmeztetésével. Bár ez a frissítés más kritikus hibákat javít, ezt a sebezhetőséget nem tartalmazza. Szerencsére a Samsung frissítése tartalmazza a júniusi úgynevezett Pixel nulladik napi sebezhetőség régóta várt javítását. Az új figyelmeztetésre reagálva a Google azt mondta, hogy a forráskód javításokat a következő 48 órában kiadják az Android Open Source Project (AOSP) adattárba. Ez valószínűleg szeptemberre esik a Galaxy felhasználók számára, hacsak a Samsung nem tesz valami szokatlant.
A Samsung fokozatosan adja ki a frissítést
Szokás szerint a Samsung frissítése eszközönként és régiónként fokozatosan kerül bevezetésre, nem egyszerre. Míg a zászlóshajó és a közelmúltban megjelent eszközök ugyanabban a hónapban kapják meg a frissítést, más készülékek lassabb ütemezéssel frissülnek.
Nem meglepő, hogy az új fenyegetésről még nincsenek részletek. De mivel a Google TAG Clement Lecigne-jét megköszönték a sebezhetőség felfedezéséről szóló közleményben, feltételezhetjük, hogy a fenyegetés akár egy fejlett perzisztens fenyegetés (APT) vagy állami szintű támadás is lehet.
Figyelembe véve a legutóbbi esetet, jó lesz látni, ha most gördülékenyebb együttműködés lesz a Google és a Samsung között, és a Galaxy felhasználók biztosítva lesznek arról, hogy a javítás prioritást élvez, és a lehető leghamarabb elérhető lesz – minden bizonnyal szeptembernél nem később. Azonban a Google Android, Pixel hardver és Pixel szoftver feletti irányítása miatt sokkal könnyebb komoly frissítéseket végrehajtani más OEM-ekhez képest. Mivel mindenki az iPhone-ra figyel, mint a zászlóshajó piacon a biztonsági etalonra, és azok az eszközök jóval 1000 dollár feletti áron kaphatók, ez egy olyan probléma, amelyet a Samsung nem könnyen háríthat el.
Legutóbb az amerikai kormány a Pixel nulladik napi sebezhetőséget felvette az ismert kihasznált sebezhetőségek katalógusába. Ez még nem történt meg, de érdekes lesz látni, hogy a CISA ezúttal is ugyanazt az eljárást követi-e, és hogy ez csak a Pixelre vonatkozik-e vagy a Samsungra is. A CISA általában 21 napos frissítési vagy használat megszüntetési tanácsot ad ki, ami komoly problémát jelentene a Galaxy felhasználók számára, figyelembe véve az Android és a Samsung szokásos frissítési ütemezését.