行業新聞與博客

谷歌發佈的最新 Android 安全更新已修復 62 個漏洞，其中包括兩個正在被積極利用的零日漏洞。

這些高嚴重性問題（編號為 CVE-2024-53150 和 CVE-2024-53197）是在 Linux 內核的 USB 子組件中發現的，可用於提升權限或訪問敏感信息，而無需用户交互。

CVE-2024-53197 是一個權限提升漏洞，而 CVE-2024-53150 是一個越界讀取漏洞，可能導致數據泄露。兩者的 CVSS 評分均為 7.8，並於 2024 年 12 月在 Linux 內核中初步修復。

谷歌證實，這兩個問題可能已被利用來進行“有限的、有針對性的”攻擊。

Jamf 公司歐洲、中東和印度地區高級安全戰略經理亞當·博因頓 (Adam Boynton) 表示：“這兩個缺陷都出在內核上，內核是操作系統的核心部分，充當着硬件和軟件之間的中介。”

“CVE-2024-53150 允許攻擊者無需用户交互即可訪問敏感信息，而 CVE-2024-53197 如果被攻擊者利用，則可能導致內存損壞甚至權限提升。”

與 Cellebrite 漏洞相關的漏洞

已修補的漏洞之一 CVE-2024-53197 與以色列數字取證公司 Cellebrite 使用的漏洞鏈有關。 

據國際特赦組織稱，Cellebrite 利用該漏洞以及 CVE-2024-53104 和 CVE-2024-50302 於 2024 年 12 月獲取了一名塞爾維亞活動人士的手機訪問權限。

所有這三個漏洞均已通過最近的 Android 更新得到解決。

谷歌沒有分享有關 CVE-2024-53150 實際使用情況的具體細節，但研究人員認為它可能是同一漏洞利用鏈的一部分。

以安全為重點的 GrapheneOS 項目也指出了這些漏洞之間的相似之處。

“這些 CVE 現已公開，”Boynton 補充道。“更多攻擊者可能會瞄準尚未更新的設備。”

修復了另外 60 個漏洞

除了這兩個零日漏洞外，谷歌 2025 年 4 月的更新還修復了 Android 各個組件中的其他 60 個漏洞。這些包括：

• 2025-04-01 補丁級別解決了 28 個問題，涵蓋系統和框架
• 2025-04-05 補丁級別新增 31 個漏洞，針對內核、高通、聯發科和其他第三方組件

本週期內沒有針對 Automotive OS 或 Wear OS 的新補丁

博因頓表示：“目前有兩個漏洞正被網絡犯罪分子利用，Android 用户必須立即更新其設備。”

“儘管這是一次有針對性的攻擊，但我們強烈建議所有用户更新他們的 Android 操作系統。”

Pixel 設備將首先收到更新，三星、一加和摩托羅拉等其他製造商預計將很快跟進。谷歌表示，這些補丁已於 1 月分發給合作伙伴。