谷歌在2025年4月的安卓安全更新中發(fā)布了62個漏洞的補丁，其中包括兩個已被定向攻擊利用的零日漏洞（zero-day）。

塞爾維亞當局利用的漏洞利用鏈

其中一個零日漏洞是Linux內(nèi)核中ALSA設備USB音頻驅(qū)動程序的高危權(quán)限提升漏洞（CVE-2024-53197）。據(jù)報道，塞爾維亞當局利用該漏洞解鎖被沒收的安卓設備，這是以色列數(shù)字取證公司Cellebrite開發(fā)的零日漏洞利用鏈的一部分。

該漏洞利用鏈還包括：

• 2月已修復的USB視頻類零日漏洞（CVE-2024-53104）
• 上月修復的人機接口設備零日漏洞（CVE-2024-50302）

某國際安全實驗室在2024年年中分析塞爾維亞警方解鎖設備的日志時發(fā)現(xiàn)了這一漏洞利用鏈。

谷歌的響應措施

谷歌在2月向BleepingComputer表示，這些修復補丁已于1月與OEM（原始設備制造商）合作伙伴共享。

"我們在收到報告前就已意識到這些漏洞及其利用風險，并迅速為安卓系統(tǒng)開發(fā)了修復補丁。1月18日，我們通過合作伙伴公告向OEM合作伙伴共享了這些補丁，"谷歌發(fā)言人告訴BleepingComputer。

本月修復的第二個零日漏洞

本月修復的第二個零日漏洞（CVE-2024-53150）是安卓內(nèi)核信息泄露漏洞，由越界讀取缺陷導致，本地攻擊者無需用戶交互即可訪問受影響設備上的敏感信息。

其他安全更新內(nèi)容

2025年3月的安卓安全更新還修復了其他60個安全漏洞，其中大部分是高危權(quán)限提升漏洞。

谷歌發(fā)布了兩組安全補丁：

• 2025-04-01安全補丁級別
• 2025-04-05安全補丁級別

后者包含第一批的所有修復補丁，以及針對閉源第三方組件和內(nèi)核子組件的安全補丁，這些補丁可能不適用于所有安卓設備。

谷歌Pixel設備會立即收到這些更新，而其他廠商通常需要更長時間來測試和調(diào)整安全補丁，以適應其特定的硬件配置。

此前修復的零日漏洞

2024年11月，谷歌還修復了另一個安卓零日漏洞（CVE-2024-43047）。該漏洞最初由谷歌Project Zero在2024年10月標記為已被利用，并被塞爾維亞政府用于NoviSpy間諜軟件攻擊活動人士、記者和抗議者的安卓設備。