На этой неделе инженеры Google исправили 28 уязвимостей в Android и 25 ошибок в устройствах Pixel, включая две проблемы, которые уже подвергались эксплуатации. Сообщается, что 0-day уязвимости в Google Pixel использовались киберкриминалистами для разблокировки смартфонов без PIN-кода и получения доступа к хранящимся на них данным.
Хотя смартфоны Pixel работают под управлением Android, они получают отдельные обновления, отличные от стандартных ежемесячных патчей, распространяемых среди всех OEM-производителей Android-устройств. И если апрельские исправления для Android не содержали никаких критически важных патчей, то в Pixel исправили стразу две 0-day уязвимости — CVE-2024-29745 и CVE-2024-29748.
CVE-2024-29745 описывается как серьезный недостаток, связанный с раскрытием информации в загрузчике Pixel, а проблема CVE-2024-29748 была обнаружена в прошивке Pixel и связана с повышением привилегий.
Разработчики основанной на Android GrapheneOS, ориентированной на конфиденциальность и безопасность, рассказали в X, что эти баги часто используются киберкриминалистами. По словам исследователей, которые и обнаружили эти уязвимости, сообщив о них Google, CVE-2024-29745 и CVE-2024-29748 позволяют разблокировать память устройств Google Pixel (нужен физический доступ) и получить доступ к данным.
Напомним, что в январе 2024 года разработчики GrapheneOS предупреждали о найденных багах прошивки, но тогда не стали раскрывать их детали.
Теперь же эксперты рассказали, что проблема CVE-2024-29745 связана с уязвимостью в прошивке fastboot, используемой для реализации разблокировки, прошивки и блокировки устройств.
«Киберкриминалисты перезагружают устройства Pixel и другие устройства в состояние “После первой разблокировки” (After First Unlock) в режим fastboot, чтобы использовать уязвимость и затем сделать дамп памяти», — говорят исследователи.
Google исправила ситуацию: теперь память обнуляется при загрузке в режиме fastboot, а USB-подключение активируется только после завершения процесса обнуления.
Что касается CVE-2024-29748, этот недостаток позволяет локальным злоумышленникам обойти инициированный приложениями сброс настроек до заводских с помощью API администратора, что делает такой сброс небезопасным.
По словам разработчиков GrapheneOS, исправление для этой уязвимости, предложенное Google, является частичным и потенциально неэффективным, так как остановить сброс по-прежнему возможно, отключив питание устройства.
