A szerb rendőrség egy Android sebezhetőséget kihasználva tört be egy aktivista telefonjába
Egyre több országban merül fel az emberi jogok megsértése a digitális megfigyelés révén, és most Szerbia is felkerült erre a listára. Egy jelentés szerint a szerb hatóságok egy ismeretlen Android biztonsági rést kihasználva fértek hozzá egy diáktüntető mobiltelefonjához. Az esetet az Amnesty International kutatói fedezték fel, és a szálak egy izraeli céghez, a Cellebrite-hez vezetnek.
Cellebrite és az Android biztonsági rések kihasználása
A Cellebrite egy izraeli digitális kriminalisztikai vállalat, amelyet világszerte előszeretettel használnak a rendvédelmi szervek és hírszerző ügynökségek, hogy hozzáférjenek okostelefonokhoz és más digitális eszközökhöz. Ehhez gyakran használnak úgynevezett zero-day sebezhetőségeket, vagyis olyan szoftverhibákat, amelyeket a gyártók még nem javítottak. Az Amnesty International kutatói 2024 közepén fedezték fel, hogy a szerb hatóságok egy ilyen sebezhetőséget használhattak fel, hogy egy aktivista telefonját feltörjék és megpróbáljanak kémprogramot telepíteni rá. A felfedezést követően a Cellebrite bejelentette, hogy megszüntette a szerb biztonsági szolgálatok hozzáférését az eszközeihez.
A kihasznált biztonsági rések és a Google reakciója
Az Amnesty International felfedezését követően a Google biztonsági csapata (TAG) kivizsgálta az esetet, és három Linux-alapú USB sebezhetőséget azonosított, amelyeket az Android rendszeren is kihasználhattak:
CVE-2024-53104 – USB Video Class sebezhetőség
CVE-2024-53197 – ALSA USB-hangmeghajtó sebezhetőség
CVE-2024-50302 – USB HID eszköz sebezhetőség
A Google a CVE-2024-53104-es sebezhetőséget már kijavította, és a 2025 februári Android biztonsági frissítésben hivatalosan is befoltozta. A másik két sebezhetőséget (CVE-2024-53197 és CVE-2024-50302) még nem javították meg egyetlen Android Security Bulletinben sem, így ezekre egyelőre nincs széles körben elérhető Google-frissítés.
A GrapheneOS fejlesztői azonban közölték, hogy az ő rendszerük már tartalmazza a szükséges javításokat, mivel folyamatosan frissítik a legújabb Linux kernelt. A Google szóvivője elmondta, hogy már 2025 januárjában megosztották a hibajavításokat az OEM (gyártó) partnereikkel, vagyis a telefonmárkákkal. Ez azt jelenti, hogy a gyártóknak kell ezeket implementálniuk a saját készülékeikre. Az, hogy egy adott telefonon mikor lesznek elérhetőek ezek a frissítések, a gyártótól függ.
USB biztonsági rések: A fizikai hozzáférés veszélyei
A USB-alapú támadások gyakran kihasználják a meghajtók vagy a firmware hibáit, hogy jogosulatlan hozzáférést szerezzenek egy eszközhöz. Ilyen támadásokkal a támadók:
– Megkerülhetik a zárolt képernyőt,
– Káros kódokat futtathatnak a telefonon,
– Memóriakorrupciót idézhetnek elő a rendszer sebezhetőségeinek kihasználására
A fő korlátozó tényező az, hogy ezekhez a támadásokhoz fizikai hozzáférés szükséges az eszközhöz. A szerb esetben ez könnyen teljesült, hiszen a rendőrség lefoglalta az érintett aktivista telefonját. A Google az elmúlt évben már javított hasonló zero-day sebezhetőségeket, amelyeket igazságügyi elemzők és kormányzati szervek használtak arra, hogy PIN-kód nélkül férjenek hozzá készülékekhez. Az Apple szintén hasonló USB biztonsági hibát foltozott be nemrég.
Kapcsolódó tartalom: Kriptókat lopó trójait találtak elég sok iOS és Android alkalmazásban
Hogyan védekezhetnek a felhasználók?
Bár a teljes védelem szinte lehetetlen, néhány lépés segíthet minimalizálni a kockázatokat:
1. USB-hibakeresés (ADB) kikapcsolása – Ez megakadályozza, hogy egy számítógép fejlesztői jogosultságokkal férjen hozzá a telefonhoz.
2. Kábelkapcsolat beállítása „Csak töltés” módra – Így az eszköz nem engedi az adatátvitelt, ha csatlakoztatva van egy másik eszközhöz.
3. Telefon titkosítása – Az eszköz titkosítása (Beállítások → Biztonság és adatvédelem → Titkosítás és hitelesítés → Telefon titkosítása) nehezebbé teszi az adatokhoz való hozzáférést.
A Google és más gyártók folyamatosan javítják a biztonsági réseket, de a felhasználóknak is érdemes rendszeresen frissíteniük készülékeiket, hogy csökkentsék a lehetséges kockázatokat.