Google corrige dos días cero de píxeles que fueron explotados por empresas forenses

Google ha abordado dos vulnerabilidades en los teléfonos móviles Pixel que las empresas forenses aprovecharon para eludir los PIN y acceder a los datos almacenados en el dispositivo.

Ver también: Los dispositivos de red mueren

El teléfono móvil premium Pixel de Google funciona con el sistema operativo Android del gigante tecnológico. En el boletín de seguridad de abril, Google una declaración Explotación activa de dos vulnerabilidades: CVE-2024-29745, una vulnerabilidad de divulgación de información en el gestor de arranque de Pixel, y CVE-2024-29748, un error de elevación de privilegios en el firmware de Pixel.

En el breve boletín de seguridad, Google advirtió que «hay indicios de que lo siguiente puede estar sujeto a una explotación limitada y específica».

Investigadores de seguridad en el sistema operativo móvil de código abierto centrado en la privacidad y la seguridad GrapheneOS Él dijo Las empresas forenses están explotando activamente las fallas, lo que les permite desbloquear la memoria del dispositivo Pixel y acceder a ella mediante acceso físico.

La compañía describió CVE-2024-29745 como un error en el firmware fastboot utilizado para admitir el desbloqueo, la actualización y el bloqueo de dispositivos Pixel. «Las empresas forenses están reiniciando los dispositivos en un estado 'después del primer bloqueo' al modo de inicio rápido en Pixel y otros dispositivos para explotar las vulnerabilidades allí y luego desechar la memoria», dijo.

Google solucionó el problema filtrando la memoria en modo fastboot y habilitando la conexión USB solo después de que se completó el proceso de puesta a cero. Este remedio esencialmente bloqueó y borró toda una clase de ataques, GrapheneOS. Él dijo.

El segundo error, CVE-2024-29748, permite a los atacantes locales evitar los restablecimientos de fábrica iniciados por aplicaciones que utilizan la API del Administrador de dispositivos, dijo GrapheneOS. Esto hace que estos reinicios sean inseguros. La solución actual de Google para la vulnerabilidad es una «solución de firmware parcial», ya que cortar la alimentación del dispositivo puede detener el proceso de escaneo.

GrafenoOS mencionado Los dos desertaron hace unos meses y recibieron una recompensa colectiva de 8.000 dólares.

La actualización de seguridad de abril de 2024 para teléfonos Pixel aborda otras 24 vulnerabilidades, incluida CVE-2024-29740, una vulnerabilidad de elevación de privilegios de clase alta que afecta al subcomponente ACPM en Pixel.