Android 14, 15 va 16 xavf ostida! Darhol yangilash so'raladi
- Hidoyatxon Atabaev
- May 6
- 3 min read
Google Android foydalanuvchilarini hech qanday qo‘shimcha ruxsatlarsiz yoki foydalanuvchi aralashuvisiz qurilmalarni buzib kirish imkonini beruvchi o‘ta xavfli zaiflik aniqlanganidan so‘ng, telefonlarni zudlik bilan yangilashga chaqirmoqda.
CVE-2026-0073 kodi bilan qayd etilgan ushbu xatolik Googlening oxirgi xavfsizlik yangilanishida bartaraf etildi.
Biroq, himoya qurilma ishlab chiqaruvchilarining ushbu tuzatishni foydalanuvchilarga yetkazib berishiga bog'liq — bu ko'plab Android egalari to'liq himoyalanish uchun dasturiy ta'minotni qo'lda tekshirishlari va yangilashlari kerakligini anglatadi.
Ushbu zaiflik Androidning so'nggi versiyalariga, xususan Android 14, 15 va 16 (shu jumladan, yangi oraliq nashrlar) versiyalariga ta'sir qiladi va uni 2026-yil 1-maydagi xavfsizlik yangilanishi bilan tuzatish mumkin.
Xatolik telefonni to'liq nazorat qilishga olib kelishi mumkin!
Ushbu zaiflikni tashvishli qiladigan jihati shundaki, unga "zero-click" (nol bosish) reytingi berilgan (ya'ni hech qanday fishing hujumlari yoki ijtimoiy muhandislik talab qilinmaydi), shu sababli xatolik "o'ta xavfli" (critical) deb belgilangan.
Google'ning Android xavfsizlik byulleteniga ko'ra, xatolik Android operatsion tizimining yadro (asosiy) qismiga ta'sir qiladi. Ushbu darajadagi zaifliklar ayniqsa jiddiy hisoblanadi, chunki ular ilovalar va foydalanuvchi boshqaruvidan pastroqda joylashgan bo'lib, butun qurilmaga ta'sir qilishi mumkin.
Google ma'lumotlariga ko'ra, ushbu muammo nishon qurilmaga yaqin masofada yoki u bilan bir xil tarmoqda bo'lgan hujumchi tomonidan ishlatilishi mumkin.
"Ushbu tasnifdagi zaiflik hech qanday qo'shimcha ijro imtiyozlarisiz, qobiq (shell) foydalanuvchisi sifatida masofadan (yaqin/qo'shni) kodni ishga tushirishga olib kelishi mumkin. Undan foydalanish uchun foydalanuvchi aralashuvi talab qilinmaydi", - deyiladi kompaniya bayonotida.
Dasturchi funksiyasi ochiq qoldi
Zaiflik Android Debug Bridge (ADB) tizimida — ishlab chiquvchilar (dasturchilar) va muhandislarga kompyuter orqali qurilma bilan aloqa o‘rnatish imkonini beruvchi o‘rnatilgan funksiyada yashiringan.
Garchi ADB kundalik foydalanishda ochiq bo‘lishi nazarda tutilmagan bo‘lsa-da, ushbu xatolik hujumchilarga unga kirish yo‘llarini ochib berishi mumkin.
Jamf kompaniyasining korporativ strategiya bo‘yicha katta boshqaruvchisi Adam Boytonning ta’kidlashicha, ushbu dasturchi vositasi hujumchilar foydalanishi mumkin bo‘lgan tarzda ochiq qolishi yoki jonli qurilmalarda unga kirish imkoni bo‘lishi hech qachon ko‘zda tutilmagan.
“May oyidagi Android xavfsizlik byulleteni hajmi jihatidan kichik bo‘lsa-da, mazmuni bo‘yicha e’tiborga loyiq. Yagona o‘ta xavfli muammo — CVE-2026-0073 bo‘lib, u foydalanuvchi aralashuvisiz masofadan kodni ishga tushirish imkonini beradi; bunda hech qachon ishlab chiqarish darajasidagi hujum maydoni bo‘lmasligi kerak bo‘lgan nosozliklarni tuzatish interfeysidan (debug interface) foydalaniladi”.
Xavfsizlik bo‘yicha ekspertning qo‘shimcha qilishicha, ushbu nuqson mobil kuzatuvning yanada murakkab shakllarida kuzatiladigan qonuniyatni aks ettiradi.
“Bu tijoriy josuslik dasturlari operatorlari yillar davomida mobil eksploit zanjirlarini qurgan arxitektura namunasining aynan o‘zidir: tizim darajasidagi kirish, foydalanuvchi harakatisiz va hech qanday shubha uyg‘otuvchi belgilarisiz”. - Adam Boyton, Jamf, xavfsizlik bo‘yicha eksperti.
Foydalanuvchilar uchun cheklangan ko‘rinish; eng yaxshi chora — yangilash
Zaiflik hakerlardan foydalanuvchilar bilan muloqot qilishni yoki ularni havolalarga bosishga yoki ilovalarni yuklab olishga majburlashni talab qilmagani sababli, foydalanuvchilar uchun bunday turdagi tahdidlardan qochish juda qiyin.
Boytonning so‘zlariga ko‘ra, yagona himoya qurilmalarning doimiy ravishda yangilab borilishini ta’minlashga va yuqori darajadagi nishon hisoblangan foydalanuvchilar uchun tizim darajasida monitoring o‘tkazishga bog‘liq.
“Ish beradigan himoya choralari qurilma darajasida amalga oshiriladi; bunga nimalar ishga tushirilganligini ko‘rib turish (visibility), tizimni yamash (patch) holatini nazorat qilish va rahbarning cho‘ntagidagi telefon ham uning stolidagi noutbuk kabi korporativ yakuniy nuqta (enterprise endpoint) ekanligini tan olish kiradi”, - dedi u.
Ma’lum hujumlar yo‘q, biroq xavotirlar saqlanib qolmoqda
Google ma’lumotlariga ko‘ra, CVE-2026-0073 zaifligi oshkor qilingan vaqtda undan faol foydalanilgani (exploitation) haqida ma’lumotlar yo‘q edi, shunga qaramay, kompaniya so‘nggi paytlarda Androidga ta’sir qiluvchi bir qator xavfsizlik muammolariga duch keldi.
Mart oyida kompaniya boshqa bir nuqson — CVE-2026-21385 dan faol foydalanilganini tasdiqlagan edi. Qualcomm grafik komponentiga ta’sir qiluvchi ushbu zaiflik xotirada saqlanadigan maxfiy ma’lumotlarga kirish imkonini berishi mumkin edi. Google ushbu hujumlarning tafsilotlarini ochiqlamagandi.
Google kompaniyasining ma’lum qilishicha, dushanba kuni e’lon qilingan ushbu oydagi byulleten chiqqanidan keyin 48 soat ichida CVE-2026-0073 uchun manba kodi tuzatishlari Android Open Source Project (AOSP) loyihasiga taqdim etiladi. Bu qurilma ishlab chiqaruvchilariga ushbu tuzatishni o‘zlarining yangilanishlariga kiritish imkonini berishi kerak.
Avvalgi nashrlarda bo‘lgani kabi, birinchi yangilanishni Pixel qurilmalari olishi kutilmoqda, boshqa ishlab chiqaruvchilar, jumladan Samsung ham, tuzatishlarni bosqichma-bosqich joriy etadi.
Ushbu qurilmalar uchun yangilanishlar tayyor bo‘lishi bilan ularni o‘rnatish tavsiya etiladi.
Comments