谷歌在2025年4月的安卓安全更新中發(fā)布了62個(gè)漏洞的補(bǔ)丁，其中包括兩個(gè)已被定向攻擊利用的零日漏洞（zero-day）。

塞爾維亞當(dāng)局利用的漏洞利用鏈

其中一個(gè)零日漏洞是Linux內(nèi)核中ALSA設(shè)備USB音頻驅(qū)動(dòng)程序的高危權(quán)限提升漏洞（CVE-2024-53197）。據(jù)報(bào)道，塞爾維亞當(dāng)局利用該漏洞解鎖被沒收的安卓設(shè)備，這是以色列數(shù)字取證公司Cellebrite開發(fā)的零日漏洞利用鏈的一部分。

該漏洞利用鏈還包括：

• 2月已修復(fù)的USB視頻類零日漏洞（CVE-2024-53104）
• 上月修復(fù)的人機(jī)接口設(shè)備零日漏洞（CVE-2024-50302）

某國際安全實(shí)驗(yàn)室在2024年年中分析塞爾維亞警方解鎖設(shè)備的日志時(shí)發(fā)現(xiàn)了這一漏洞利用鏈。

谷歌的響應(yīng)措施

谷歌在2月向BleepingComputer表示，這些修復(fù)補(bǔ)丁已于1月與OEM（原始設(shè)備制造商）合作伙伴共享。

"我們在收到報(bào)告前就已意識(shí)到這些漏洞及其利用風(fēng)險(xiǎn)，并迅速為安卓系統(tǒng)開發(fā)了修復(fù)補(bǔ)丁。1月18日，我們通過合作伙伴公告向OEM合作伙伴共享了這些補(bǔ)丁，"谷歌發(fā)言人告訴BleepingComputer。

本月修復(fù)的第二個(gè)零日漏洞

本月修復(fù)的第二個(gè)零日漏洞（CVE-2024-53150）是安卓內(nèi)核信息泄露漏洞，由越界讀取缺陷導(dǎo)致，本地攻擊者無需用戶交互即可訪問受影響設(shè)備上的敏感信息。

其他安全更新內(nèi)容

2025年3月的安卓安全更新還修復(fù)了其他60個(gè)安全漏洞，其中大部分是高危權(quán)限提升漏洞。

谷歌發(fā)布了兩組安全補(bǔ)丁：

• 2025-04-01安全補(bǔ)丁級(jí)別
• 2025-04-05安全補(bǔ)丁級(jí)別

后者包含第一批的所有修復(fù)補(bǔ)丁，以及針對(duì)閉源第三方組件和內(nèi)核子組件的安全補(bǔ)丁，這些補(bǔ)丁可能不適用于所有安卓設(shè)備。

谷歌Pixel設(shè)備會(huì)立即收到這些更新，而其他廠商通常需要更長時(shí)間來測試和調(diào)整安全補(bǔ)丁，以適應(yīng)其特定的硬件配置。

此前修復(fù)的零日漏洞

2024年11月，谷歌還修復(fù)了另一個(gè)安卓零日漏洞（CVE-2024-43047）。該漏洞最初由谷歌Project Zero在2024年10月標(biāo)記為已被利用，并被塞爾維亞政府用于NoviSpy間諜軟件攻擊活動(dòng)人士、記者和抗議者的安卓設(shè)備。