Обновление безопасности Android от апреля 2022 года уже доступно для смартфонов Google Pixel и Samsung Galaxy. Среди прочего, последний патч безопасности, похоже, устранил уязвимость Dirty Pipe, которая затронула устройства серий Pixel 6 и Galaxy S22. Или имеет?
И Samsung, и Google недавно опубликовали соответствующие бюллетени по безопасности за апрель 2022 года. Интересно, что только в бюллетенях Samsung упоминается исправление уязвимости Dirty Pipe. Компания перечисляет общий номер уязвимости и воздействия (CVE) CVE-2022-0847, который Google присвоил Dirty Pipe ранее в этом году, как элемент CVE с высокой степенью серьезности, исправленный Google.
Однако идентификатор CVE-2022-0847 отсутствует в обновленном бюллетене безопасности Google. Даже патч безопасности для Pixel от апреля 2022 года не упоминает об этом. Это говорит о том, что последнее обновление безопасности не устраняет уязвимость Dirty Pipe на устройствах Pixel 6 и Pixel 6 Pro. Мишаал Рахман из Esper.io говорит, что версия ядра Pixel 6 Pro после установки апрельского патча также указывает на то, что уязвимость не исправлена.
Samsung самостоятельно исправила уязвимость Dirty Pipe в апрельском обновлении?
Samsung, с другой стороны, похоже, исправила уязвимость Dirty Pipe на своих уязвимых устройствах с помощью апрельского SMR (выпуска для обеспечения безопасности). Это немного удивительно и сбивает с толку. Уязвимость исходит от Linux, платформы с открытым исходным кодом, из которой происходит Android. Таким образом, Google должен был сначала реализовать исправление для этого на уровне Android.
Тем не менее, Dirty Pipe влияет только на устройства с ядром Linux версии 5.8 или новее. Согласно сообщениям, некоторые смартфоны, использующие процессор Qualcomm Snapdragon 8 Gen 1 или Google Tensor и дебютировавшие с Android 12, уязвимы для него. К ним относятся Galaxy S22, Pixel 6, Xiaomi 12 Pro и OnePlus 10 Pro. Так что, возможно, Google подготовила исправление для Dirty Pipe и предоставила его производителям затронутых устройств, чтобы они могли выпустить обновление, как только смогут. Samsung выпустила патч для серии Galaxy S22 как часть апрельского обновления.
Это также объясняет, почему бюллетень безопасности Google для Pixel не включает CVE-2022-0847. Поскольку это не влияет на все устройства Pixel, планируется отдельно установить патч для серии Pixel 6. Однако это всего лишь предположения. У нас до сих пор нет официального подтверждения исправления Dirty Pipe для серии Pixel 6. Надеюсь, Google скоро нам что-нибудь подскажет. Мы будем держать вас в курсе.
Между тем, если вы используете устройство Pixel 6, вы можете как можно скорее установить апрельское обновление. И надеюсь, что он включает в себя исправление для Dirty Pipe. Эта уязвимость позволяет злоумышленнику получить доступ к вашему устройству на системном уровне и получить полный контроль над ним удаленно.