Android pavojus: Qualcomm pataisa trims aktyviems nulinių dienų išpuoliams reikalauja skubių veiksmų 2025 m.
Trys rimti Adreno GPU trūkumai paveikia Snapdragon įrenginius 2025 m. OEM vendorai skuba atlikti pataisas, tačiau vartotojai turi veikti dabar, kad liktų saugūs.
- 3 nulinių dienų trūkumai pataisyti Qualcomm Adreno GPU
- 8.6/10 aukščiausias pažeidžiamumo sunkumo balas
- 2025 m. sausis–birželis: Nulinės dienos eksploatuotos laukinėje gamtoje iki 6 mėnesių
- Dešimtys milijonų: Pasaulyje galimai paveikti įrenginiai
2025 m. suteikė dar vieną kibernetinį pažadinimą Android vartotojams visame pasaulyje. Qualcomm, puslaidininkių milžinas, atsakingas už daugumą prabangių ir vidutinės klasės Android telefonų, pataisė tris pavojingus nulinių dienų pažeidimus savo Adreno GPU tvarkyklėse – pažeidimus, kuriuos įsilaužėliai taikė nuo sausio. Tačiau dabar prasideda varžybos telefonų gamintojams, kad šios pataisos būtų pateiktos milijonams galbūt vis dar pažeidžiamų vartotojų.
Šie GPU saugumo trūkumai, kataloguojami kaip CVE-2025-21479, CVE-2025-21480 ir CVE-2025-27038, turi potencialą sukelti rimtą atminties sugadinimą ir neteisėtą prieigą prie įrenginių, pradedant prabangiais modeliais – tokiais kaip Snapdragon 8 Gen 2 ir Gen 3 lustai – iki masinės rinkos įrenginių, turinčių Snapdragon 695, 778G ir 4 Gen 1/2 platformas.
Saugumo ekspertai iš Google Threat Analysis Group užsimena, kad šie pažeidimai gali jau būti taikiniu tikslinių įsilaužimo kampanijose. Nors Qualcomm pataisas pasiekė originalius įrangos gamintojus (OEM) gegužės mėnesį, jiems priklauso prekės ženklams, tokiems kaip Samsung, Xiaomi, OnePlus ir Google, kad šios pataisos būtų pristatytos galutiniams vartotojams per saugumo atnaujinimus.
K: Kokie įrenginiai yra pažeidžiami dėl šių Qualcomm nulinių dienų?
Platus Android išmaniųjų telefonų, planšetinių kompiuterių ir net kai kurių Chromebook’ų, varomų pasirinktų Snapdragon lustų, yra pavojingas. Flagmanų Snapdragon 8 serija, plačiai naudojama aukščiausios klasės įrenginiuose, taip pat biudžetinių ir vidutinės klasės lustai, esantys populiariuose modeliuose, visi yra paveikti šių GPU tvarkyklės trūkumų.
K: Kas daro šiuos trūkumus tokiais pavojingais?
Du iš trijų klaidų galėtų leisti neteisėtą prieigą ir visišką atminties sugadinimą jūsų įrenginio grafikos subsistemoje. Abi turi aukštą balą pramonės standarte bendro pažeidžiamumų balų sistemoje (CVSS): 8.6 iš 10. Trečias trūkumas, „naudojimas po atlaisvinimo“ (use-after-free) pažeidžiamumas, užima vis dar rimtą 7.5/10.
Atminties sugadinimo eksploatai istoriškai buvo mėgstami stebėjimo operatorių ir išsivysčiusių kibernetinių nusikaltėlių įrankiai. Anksčiau buvusios versijos pasirodė šnipinėjimo atakose, susijusiose su grupėmis, tokiomis kaip Variston ir Cy4Gate. Susijusiame skandale, kitas Qualcomm trūkumas (CVE-2024-43047) buvo pranešta, kad buvo naudojamas Serbijos slaptosios tarnybos, kad įsilaužtų į konfiskuotus žurnalistų ir aktyvistų Android telefonus praėjusiais metais.
Kaip: Išlaikykite savo Android įrenginį saugų nuo Qualcomm nulinių dienų
- Patikrinkite atnaujinimus: Eikite į Nustatymai > Saugumas > Sistemos atnaujinimai. Iš karto įdiekite, jei yra.
- Stebėkite gamintojo kanalus: Stebėkite pranešimus iš Samsung, Xiaomi, Google ir kitų, susijusių su saugumo atnaujinimais jūsų įrenginiui.
- Apribokite programų diegimą: Atsisiųskite tik iš patikimų šaltinių, tokių kaip Google Play.
- Laikykite programinę įrangą atnaujintą: Įjungti automatinį sistemos ir programų atnaujinimą, kur įmanoma.
K: Kodėl dar nebuvau gavo pataisos?
Kai Qualcomm pristato pataisas gamintojams, šios įmonės turi integruoti ir išbandyti pataisas kiekvienam įrenginių modeliui – procesas, kuris gali užtrukti nuo savaičių iki mėnesių, ypač senesniam ar žemesnės kainos aparatūrai. Tuo tarpu, įsilaužėliai gali toliau išnaudoti nepataisytas sistemas.
Jei turite paprastą Android įrenginį, išleistą per pastaruosius trejus metus, dažnai tikrinti atnaujinimus gali būti jūsų geriausia gynyba prieš aktyvius išpuolius.
K: Kur galiu rasti nuolatinę saugumo informaciją?
Pasidarykite žymą oficialiems šaltiniams, tokiems kaip Android Security, The Hacker News ir Qualcomm, kad gautumėte naujausius pranešimus ir patarimus.
Neatidėkite—apsaugokite savo įrenginį, kol įsilaužėliai neatsidūrė jums ant kulnų!
Pažeidžiamumai juda greitai, bet galite ir jūs. Naudokite žemiau pateiktą sąrašą ir pasdalinkite šią svarbią informaciją su draugais ir kolegomis. Jūsų kibernetinė sauga yra jūsų rankose.
- Tuoj pat patikrinkite ir įdiekite sistemos atnaujinimus
- Būkite budrūs dėl gamintojo pranešimų apie saugumo pataisas
- Laikykite programas ir operacines sistemas atnaujintas
- Būkite atsargūs su programų atsisiuntimais, net ir iš Play Store
- Pasidalykite šiuo atnaujinimu, kad padėtumėte sukurti skaitmeninio saugumo sąmoningumą
