Android пропускает атаку в фоне, пока ты читаешь эту новость

Google выпустила очередное обновление безопасности для Android, устранив 46 уязвимостей, одна из которых уже активно используется в реальных атаках. Речь идёт о критической уязвимости, которая затрагивает системный компонент Android и уже использовалась в реальных атаках. Она позволяет выполнить произвольный код на устройстве без получения дополнительных прав и без какого-либо взаимодействия со стороны пользователя.

CVE-2025-27363 (оценка CVSS: 8.1) связана с библиотекой FreeType — широко используемой системой рендеринга шрифтов с открытым исходным кодом. уязвимость представляет собой ошибку записи за пределами буфера (out-of-bounds write) при обработке шрифтов TrueType GX и variable fonts. Проблема была устранена в версиях FreeType выше 2.13.0.

Хотя точные подробности атак пока неизвестны, Google подтверждает, что уязвимость могла использоваться ограниченно и прицельно. Это говорит о том, что эксплойты, использующие данный баг, могли применяться в рамках таргетированных атак на отдельные устройства или пользователей, обладающих ценными данными.

Помимо данной уязвимости, майское обновление включает и другие исправления. Среди них — недостатки, позволяющие повысить привилегии, раскрыть конфиденциальную информацию или вывести систему из строя.

Обновления безопасности от 1 и 5 мая 2025 года устраняют сразу две группы критичных уязвимостей. Первая волна включает дыры в фреймворке Android, которые открывали путь к повышению привилегий. Вторая — ошибки в ядре, системных модулях и медиакомпонентах, позволяющие запуск вредоносного кода и утечку конфиденциальной информации.

Особое внимание уделено уязвимостям в компонентах от сторонних производителей. Так, в PowerVR GPU от Imagination Technologies устранено семь отдельных проблем, каждая из которых имеет высокий уровень риска. Аналогично, чипы ARM Mali и модемы MediaTek также получили критические исправления. Qualcomm не осталась в стороне — компания подтвердила наличие нескольких уязвимостей в ядре, камере, системе позиционирования и WLAN, включая закрытые компоненты.

Стоит отметить, что многие из уязвимостей связаны с так называемым «окончанием срока действия» — термином, которым Android обозначает повышающие привилегии баги, позволяющие обойти стандартную защиту. Кроме того, в обновление включены исправления для компонентов Project Mainline, которые теперь обновляются напрямую через Google Play, независимо от производителя устройства.

Безопасность Android теперь зависит не только от прошивки, но и от своевременного обновления системных компонентов, доступных через Google Play Protect. Именно он отслеживает вредоносную активность, особенно для пользователей, устанавливающих приложения вне Google Play.

Пользователям Android настоятельно рекомендуется проверить уровень обновлений безопасности и убедиться, что он не ниже даты 5 мая 2025 года. Производителям же рекомендуется объединить все исправления в одно обновление, чтобы обеспечить защиту от всех описанных уязвимостей.

Актуальный список CVE включает десятки позиций, среди которых 15 багов в фреймворке, 9 уязвимостей в системных компонентах, а также множество ошибок в сторонних чипсетах. Устройства под управлением Android 10 и выше, как правило, получают как исправления, так и обновления системы Google Play.

Таким образом, майский бюллетень подчёркивает необходимость оперативного обновления, особенно с учётом риска целенаправленного использования уязвимостей, вроде CVE-2025-27363. В условиях постоянного усложнения мобильных угроз даже одна незакрытая дыра может привести к захвату устройства без ведома пользователя.