Недавно на GitHub был выложен демонстрационный эксплойт для уязвимости локального повышения прав на Android-устройствах от нескольких производителей. Этот эксплойт носит идентификатор CVE-2023-45779 и был обнаружен специалистами из команды Red Team X (принадлежит компании Meta, признанной экстремистской и запрещённой на территории России) в сентябре 2023 года.

Оказывается, проблема заключается в использовании небезопасных тестовых ключей для подписи APEX-модулей. APEX-модули позволяют производителям устанавливать обновления на конкретные системные компоненты без полноценных апдейтов через интернет. Однако, если злоумышленник получит доступ к открытому ключу, которым подписываются эти модули, он сможет установить вредоносные обновления и повысить свои права. Разработчики уже исправили эту проблему с выходом декабрьских патчей для Android. Если у вас установлены эти патчи под номером 2023-12-05, то вам не о чем беспокоиться.

Тем не менее, данная уязвимость подчеркивает недостатки документации Compatibility Test Suite (CTS) и Android Open Source Project (AOSP), которые Google планирует устранить в новой версии Android 15.