Търсене
Close this search box.

Google поправя два нулеви дни в Pixel, използвани безразборно от криминалистични фирми

Google е отстранила две 0-Day  грешки в Google Pixel, използвани от криминалистични фирми за отключване на телефони без ПИН код и получаване на достъп до съхраняваните в тях данни.

Въпреки че Pixel работят с Android, те получават отделни актуализации от стандартните месечни кръпки, разпространявани до всички производители на устройства с Android. Това се дължи на уникалната им хардуерна платформа, върху която Google има пряк контрол, и на изключителните функции и възможности.

Докато бюлетинът за сигурност от април 2024 г. за Android не съдържаше нищо сериозно, съответният бюлетин от април 2024 г. за устройствата Pixel разкри активна експлоатация на две уязвимости, проследени като недостатъци CVE-2024-29745 и CVE-2024-29748.

„Има индикации, че следните уязвимости може да са подложени на ограничена, целенасочена експлоатация“, предупреди Google.

CVE-2024-29745 е отбелязана като недостатък с висока степен на опасност за разкриване на информация в буутлоудъра на Pixel, а CVE-2024-29748 е описана като недостатък с висока степен на опасност за повишаване на привилегиите във фърмуера на Pixel.

Изследователи по сигурността за GrapheneOS, дистрибуция на Android с повишена поверителност и насоченост към сигурността, разкриха на X, че са открили съдебни компании, които активно експлоатират недостатъците.

Недостатъците позволяват на компаниите да отключват и да имат достъп до паметта на устройствата Google Pixel, до които имат физически достъп.

GrapheneOS откри и съобщи за тези недостатъци преди няколко месеца, като сподели публично част от информацията, но запази спецификата неразкрита, за да избегне подхранването на широко разпространена експлоатация, когато все още не е налична кръпка.

„CVE-2024-29745 се отнася до уязвимост във фърмуера fastboot, използван за поддръжка на отключването/флаширането/заключването“, обясни GrapheneOS чрез тема в X.

„Компаниите, занимаващи се с криминалистика, рестартират устройствата в състояние „След първото отключване“ в режим fastboot на Pixel и други устройства, за да използват уязвимостите там и след това да изхвърлят паметта.“

Google приложи поправка, като занули паметта при зареждане в режим fastboot и включи USB свързаността едва след приключване на процеса на зануляване, което прави атаките непрактични.

В случая с CVE-2024-29748 GrapheneOS казва, че недостатъкът позволява на локални нападатели да заобикалят фабричните нулирания, инициирани от приложения, използващи API на администратора на устройството, което прави такива нулирания несигурни.

GrapheneOS заяви, че поправката на Google за тази уязвимост е частична и потенциално неадекватна, тъй като все още е възможно да се спре изтриването чрез прекъсване на захранването на устройството.

GrapheneOS казва, че работи по по-стабилно прилагане на ПИН код/парола за принуда и сигурно действие „паническо изтриване“, което няма да изисква рестартиране.

Актуализацията за сигурност от април 2024 г. за телефоните Pixel поправя 24 уязвимости, включително CVE-2024-29740 – критичен недостатък, свързан с повишаване на привилегиите.

За да приложат актуализацията, потребителите на Pixel могат да отидат в Настройки > Сигурност и поверителност > Система и актуализации > Актуализация на сигурността и да докоснат Инсталиране. За завършване на актуализацията ще е необходимо рестартиране.

 

Източник: e-security.bg

Подобни публикации

18 април 2024

Вариант на LockBit 3.0 генерира персонализиран,...

Изследователите на Kaspersky са открили новия вариант, след като са...
18 април 2024

Групата "Sandworm" е основното звено за киберат...

Но дори и да се е фокусирала върху това, сложната група за заплахи ...
18 април 2024

Apple предупреждава потребителите в 150 държави...

В ново уведомление за заплахи Apple посочва доставчика на Pegasus N...
17 април 2024

Приложението Copilot на Windows Server е добаве...

Microsoft твърди, че новото приложение Copilot, погрешно добавено в...
17 април 2024

Последни тенденции при зловредния софтуер

В днешната дигитална ера киберсигурността се превърна в постоянна г...
17 април 2024

FTC налага глоби на стартъпа за психично здраве...

Федералната търговска комисия на САЩ (FTC) разпореди на компанията ...
17 април 2024

BMC на Intel и Lenovo съдържат непоправен недос...

Нови открития на Binarly показват, че пропуск в сигурността, засяга...
Бъдете социални
Още по темата
10/04/2024

Chrome Enterprise дава Prem...

Google обяви нова версия на своя...
09/04/2024

Google Chrome добавя V8 San...

Google обяви поддръжка на т.нар. пясъчна...
08/04/2024

Google въвежда обновена мре...

Почти една година след като беше...
Последно добавени
18/04/2024

Вариант на LockBit 3.0 гене...

Изследователите на Kaspersky са открили новия...
18/04/2024

Групата "Sandworm" е основн...

Но дори и да се е...
18/04/2024

Apple предупреждава потреби...

В ново уведомление за заплахи Apple...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!