Google ha rivelato e corretto due gravi vulnerabilità zero-day negli smartphone Pixel che sono state sfruttate nel mondo reale da aziende forensi. Queste falle di sicurezza hanno permesso agli aggressori di bypassare le misure di sicurezza degli smartphone per accedere a dati sensibili senza necessità del PIN dell’utente.
Vulnerabilità critiche nei dispositivi Pixel
Le vulnerabilità, identificate come CVE-2024-29745 e CVE-2024-29748, riguardavano rispettivamente una falla nella divulgazione di informazioni nel componente del bootloader e una falla nell’escalation dei privilegi nel componente firmware. Sebbene Google non abbia fornito dettagli specifici sull’attività maliziosa, è stato confermato che queste vulnerabilità erano oggetto di sfruttamento limitato e mirato.
Gli sviluppatori di GrapheneOS, una distribuzione Android focalizzata sulla sicurezza e sulla privacy, hanno scoperto che aziende forensi stavano attivamente sfruttando queste vulnerabilità per sbloccare i dispositivi Pixel e accedere alla memoria. Il metodo di attacco prevedeva il riavvio dei dispositivi in modalità fastboot per sfruttare le vulnerabilità e quindi estrarre i dati.
Misure correttive adottate da Google
Per contrastare l’abuso di CVE-2024-29745, Google ha implementato una soluzione che azzera la memoria quando si avvia la modalità fastboot, rendendo in pratica impossibili gli attacchi basati su questa vulnerabilità. Per quanto riguarda CVE-2024-29748, Google ha introdotto misure per prevenire la disattivazione delle operazioni di ripristino di fabbrica iniziate tramite API da parte di app amministrative.
Tuttavia, GrapheneOS ha segnalato che la soluzione di Google per CVE-2024-29748 potrebbe essere parziale e potenzialmente inadeguata, suggerendo che sia ancora possibile interrompere il processo di cancellazione dei dati semplicemente spegnendo il dispositivo.
Importanza degli aggiornamenti di Sicurezza
Queste rivelazioni sottolineano l’importanza critica degli aggiornamenti di sicurezza per proteggere gli utenti da vulnerabilità sfruttabili. Gli utenti di dispositivi Pixel sono incoraggiati ad applicare gli aggiornamenti di sicurezza non appena disponibili, navigando nelle impostazioni del dispositivo sotto la sezione “Aggiornamento di sicurezza” per installare le correzioni.
Riflessioni finali
Questi incidenti rivelano le sfide e le complessità nella protezione dei dispositivi mobili da attacchi sofisticati e mirati. La tempestiva identificazione e correzione delle vulnerabilità zero-day da parte di Google nei dispositivi Pixel e non solo evidenzia l’importanza di un approccio proattivo alla sicurezza dei dispositivi, essenziale per salvaguardare la privacy e i dati degli utenti in un panorama digitale in continua evoluzione.
