O Google corrigiu duas vulnerabilidades de dia zero no Google Pixel, uma linha de dispositivos eletrônicos desenvolvida pela empresa, que vem sendo exploradas por empresas de serviços forenses para desbloquear telefones sem PIN e obter acesso aos dados armazenados nos aparelhos.
Embora os dispositivos Pixel executem o sistema operacional Android, eles recebem atualizações separadas dos patches mensais distribuídos a todos os OEMs de dispositivos Android. Isso se deve à sua plataforma de hardware exclusiva, sobre a qual o Google tem controle direto, e aos recursos e capacidades exclusivos.
Embora o boletim de segurança deste mês para Android não contivesse nada grave, o boletim correspondente para dispositivos Pixel revelou a exploração ativa de duas vulnerabilidades rastreadas como CVE-2024-29745 e CVE-2024-29748. “Há indicações de que as falhas podem estar sob exploração limitada e direcionada”, alertou o Google.
O CVE-2024-29745 é marcado como uma falha de divulgação de informações de alta gravidade no bootloader do Pixel, enquanto no CVE-2024-29748 é descrito como um bug de elevação de privilégio de alta gravidade no firmware do Pixel.
Pesquisadores de segurança do GrapheneOS, uma distribuição Android com privacidade aprimorada e focada na segurança, divulgaram no X (ex-Twitter) que descobriram que empresas forenses exploravam ativamente as falhas. Elas permitem que as empresas desbloqueiem e acessem a memória dos dispositivos Google Pixel, aos quais têm acesso físico.
O GrapheneOS descobriu e relatou essas falhas há alguns meses, compartilhando algumas informações publicamente, mas mantendo os detalhes não divulgados para evitar fomentar a exploração generalizada quando um patch ainda não estava disponível. “O CVE-2024-29745 refere-se a uma vulnerabilidade no firmware fastboot usado para suportar desbloqueio/flashing/bloqueio”, explicou o GrapheneOS por meio de um thread no X.
Segundo os desenvolvedores do sistema operacional móvel de código aberto, construído sobre o Android, as empresas forenses estão reiniciando dispositivos no estado “após o primeiro desbloqueio” no modo fastboot em Pixel e outros dispositivos para explorar vulnerabilidades e então despejar memória.
Veja isso
Google encontra mais dias zero no Android e iOS, além do Chrome
Google vincula mais de 60 dias zero a fornecedores de spyware
O Google implementou uma correção zerando a memória ao inicializar o modo fastboot e ativando a conectividade USB somente após a conclusão do processo de zeragem, tornando os ataques impraticáveis. Mas, segundo o GrapheneOS, a correção do Google é parcial e potencialmente inadequada, pois ainda é possível interromper a limpeza cortando a energia do dispositivo.
No caso do CVE-2024-29748, o GrapheneOS afirma que a falha permite que invasores contornem as redefinições de fábrica iniciadas por aplicativos usando a API de administração do dispositivo, tornando essas redefinições inseguras. Os desenvolvedores do sistema operacional dizem que estão trabalhando em uma implementação mais robusta de um PIN/senha de coação e uma ação segura de ‘limpeza de pânico’ que não exigirá reinicialização.
Para acessar o boletim de atualização do Google Pixel de abril clique aqui.
