Google verhelpt twee Pixel zero-day fouten die worden misbruikt door forensische bedrijven

  • Onderwerp starter Onderwerp starter Abraham54
  • Startdatum Startdatum
  • Reacties 0
  • Weergaven 704

Google verhelpt twee Pixel zero-day fouten die worden misbruikt door forensische bedrijven​

Door Bill Toula
Publicatie van
BleepingComputer


google-pixel-7.jpg



Google heeft twee Google Pixel zero-days verholpen die door forensische bedrijven werden misbruikt om telefoons zonder pincode
te ontgrendelen en toegang te krijgen tot de gegevens die erin zijn opgeslagen.

Hoewel Pixels op Android draaien, ontvangen ze afzonderlijke updates van de standaard maandelijkse patches die onder alle OEM's
van Android-apparaten worden verspreid. Dit komt door hun unieke hardwareplatform, waarover Google directe controle heeft en
de exclusieve functies en mogelijkheden.

Terwijl het beveiligingsbulletin van april 2024 voor Android niets ernstigs bevatte, onthulde het overeenkomstige bulletin van april
2024 voor Pixel-apparaten de actieve exploitatie van twee kwetsbaarheden, die worden getraceerd als CVE-2024-29745- en
CVE-2024-29748-fouten.

"Er zijn aanwijzingen dat er mogelijk sprake is van beperkte, gerichte exploitatie van het volgende", waarschuwde Google.
CVE-2024-29745 is gemarkeerd als een high-severity information disclosure lek in de bootloader van de Pixel, terwijl
CVE-2024-29748 wordt beschreven als een high-severity elevation of privilege bug in de Pixel firmware.

Beveiligingsonderzoekers van GrapheneOS, een Android-distributie die de privacy verbetert en zich richt op beveiliging, onthulden
op X dat ze ontdekten dat forensische bedrijven actief gebruik maakten van de zwakke plekken.

Door de fouten kunnen bedrijven het geheugen van Google Pixel-apparaten ontgrendelen en openen, waar ze fysiek toegang
toe hebben.


tweet.png



GrapheneOS ontdekte en rapporteerde deze zwakke plekken een paar maanden geleden, en deelde wat informatie publiekelijk,
maar hield de details geheim om wijdverspreide exploitatie te voorkomen toen er nog geen patch beschikbaar was.

"CVE-2024-29745 verwijst naar een kwetsbaarheid in de fastboot-firmware die wordt gebruikt om ontgrendelen/flashen/
vergrendelen te ondersteunen," legde GrapheneOS uit via een thread op X.

"Forensische bedrijven herstarten apparaten in de 'After First Unlock'-status in fastboot-modus op Pixels en andere apparaten om
daar kwetsbaarheden uit te buiten en vervolgens geheugen te dumpen."

Google heeft een oplossing geïmplementeerd door het geheugen op nul te zetten bij het opstarten van de fastboot-modus en
de USB-connectiviteit pas in te schakelen nadat het nulzetten is voltooid, waardoor de aanvallen onpraktisch worden.

In het geval van CVE-2024-29748 zegt GrapheneOS dat de fout lokale aanvallers in staat stelt, om fabrieksinstellingen te
omzeilen die zijn geïnitieerd door apps die gebruik maken van de apparaatbeheer-API, waardoor dergelijke instellingen onveilig
zijn.

GrapheneOS vertelde BleepingComputer dat Google's oplossing voor deze kwetsbaarheid gedeeltelijk en mogelijk ontoereikend is,
omdat het nog steeds mogelijk is om het wissen te stoppen door de stroom naar het apparaat uit te schakelen.

GrapheneOS zegt te werken aan een robuustere implementatie van een nood-PIN/wachtwoord en een veilige 'panic wipe'-actie
waarvoor geen herstart nodig is.

De beveiligingsupdate van april 2024 voor Pixel-telefoons verhelpt 24 kwetsbaarheden, waaronder CVE-2024-29740, een ernstig
'elevation of privilege'-fout.

Om de update toe te passen, kunnen Pixel-gebruikers naar
Instellingen > Beveiliging & privacy > Systeem & updates > Beveiligingsupdate gaan en op Installeren tikken.
Een herstart is vereist om de update te voltooien.


Zie ook:
 
Terug
Bovenaan Onderaan