Google corregge due falle di sicurezza 0-day sui Pixel, già sfruttate da società forensi

Google corregge due falle di sicurezza 0-day sui Pixel, già sfruttate da società forensi

Google ha implementato una soluzione per due vulnerabilità 0-day nei dispositivi Pixel che sono state sfruttate attivamente da società forensi per sbloccare telefoni e accedere ai dati memorizzati al loro interno senza il PIN

di pubblicata il , alle 13:01 nel canale Telefonia
PixelGoogleAndroid
 

Google ha risolto due vulnerabilità zero-day nei dispositivi Pixel che sono state sfruttate da società forensi per accedere illegalmente ai dati degli utenti. Le falle, tracciate come CVE-2024-29745 e CVE-2024-29748, hanno permesso a queste aziende di sbloccare gli smartphone della famiglia per ottenere l'accesso alla memoria interna, anche senza conoscere il PIN.

La prima vulnerabilità, CVE-2024-29745, è stata classificata ad alta gravità come bug di divulgazione delle informazioni nel bootloader dei Pixel. Secondo i ricercatori di GrapheneOS, una distribuzione Android incentrata sulla sicurezza, le società forensi sfruttavano questa falla riavviando i dispositivi in uno stato "After First Unlock" nella modalità fastboot, utile per eseguire alcune operazioni critiche con il dispositivo, consentendo loro di scaricare i dati dalla memoria.

Google sistema due vulnerabilità di sicurezza sui propri Pixel

La vulnerabilità è nota da alcuni mesi, ma le specifiche non erano state rilasciate per evitare la diffusione di ulteriori problemi di sicurezza. La soluzione prevede l'azzeramento della memoria all'avvio della modalità fastboot e abilita la connettività USB solo dopo il completamento di questo processo, rendendo gli attacchi impraticabili.

L'altra vulnerabilità, CVE-2024-29748, è stata descritta come un bug di elevazione di privilegi ed è anch'essa di alta gravità. Presente nel firmware dei Pixel, la falla permetteva agli aggressori di aggirare il ripristino delle impostazioni di fabbrica avviati dalle app che utilizzano l'API di amministrazione del dispositivo, rendendo tali ripristini insicuri. GrapheneOS ha espresso alcune preoccupazioni riguardo alla correzione di CVE-2024-29748, affermando che è ancora possibile interrompere la cancellazione interrompendo l'alimentazione al dispositivo. L'azienda ha inoltre dichiarato di essere al lavoro su un'implementazione più robusta.

Sottolineiamo comunque che, anche se contrassegnate come critiche, le due vulnerabilità richiedono l'accesso fisico al dispositivo per poter essere sfruttate attivamente. Oltre a queste due falle sui Pixel, l'aggiornamento di sicurezza di aprile 2024 per i telefoni Pixel ha corretto 24 vulnerabilità, fra cui un bug contrassegnato come "critico" (CVE-2024-29740). Gli utenti di smartphone della serie Pixel di Google sono quindi chiamati a installare l'aggiornamento accedendo alle impostazioni di sistema, o aspettando la distribuzione automatica degli aggiornamenti di aprile.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^