İzin Verilen Hatalar Cihaz Kilidini Açma ve Bellek Erişimi
Sayın Mihir (MihirBagwe) •
4 Nisan 2024
Google, adli tıp firmalarının PIN'leri atlamak ve cihazda depolanan verilere erişmek için Pixel cep telefonlarında kullandığı iki sıfır gün güvenlik açığını giderdi.
Ayrıca bakınız: Ağ Donanım Cihazlarının Ölümü
Google'ın birinci sınıf Pixel cep telefonu, teknoloji devinin Android işletim sistemi üzerinde çalışıyor. Nisan ayında yayınlanan bir güvenlik bülteninde Google, iki güvenlik açığından aktif olarak yararlanıldığını açıkladı: Pixel'in önyükleyicisindeki bir bilgi ifşa kusuru olan CVE-2024-29745 ve Pixel donanım yazılımındaki bir ayrıcalık yükselmesi hatası olan CVE-2024-29748.
Google, kısa güvenlik bülteninde şu uyarıda bulundu: “Aşağıdakilerin sınırlı, hedefli istismara maruz kalabileceğine dair göstergeler var.”
Açık kaynaklı gizlilik ve güvenlik odaklı mobil işletim sistemi GrapheneOS'ta güvenlik araştırmacıları söz konusu Adli tıp şirketlerinin kusurlardan aktif olarak yararlanarak fiziksel erişimle Pixel'in cihaz belleğinin kilidini açmalarına ve erişmelerine olanak tanıdığını söyledi.
Şirket, CVE-2024-29745'i Pixel cihazlarının kilidini açmayı, flaşlamayı ve kilitlemeyi desteklemek için kullanılan fastboot ürün yazılımındaki bir hata olarak tanımladı. “Adli tıp şirketleri, Pixel'lerdeki ve diğer cihazlardaki güvenlik açıklarından yararlanmak ve ardından hafızayı boşaltmak için, İlk Kilit Açma Durumunda olan cihazları fastboot moduna yeniden başlatıyor” dedi.
Google, fastboot modu önyüklemesi sırasında belleği sıfırlayarak ve USB bağlantısını yalnızca sıfırlama işlemini tamamladıktan sonra etkinleştirerek sorunu çözdü. Bu iyileştirme, GrapheneOS'un tüm saldırı sınıfını temel olarak bloke etti ve ortadan kaldırdı. söz konusu.
GrapheneOS, ikinci hata olan CVE-2024-29748'in, yerel saldırganların cihaz yöneticisi API'sini kullanan uygulamalar tarafından başlatılan fabrika sıfırlamalarını atlamasına izin verdiğini söyledi. Bu, bu tür sıfırlamaları güvensiz hale getirir. Google'ın bu güvenlik açığına yönelik mevcut düzeltmesi “ürün yazılımındaki kısmi bir çözümdür” çünkü cihazın gücünün kesilmesi silme işlemini durdurabilir.
GrafenOS rapor edildi Birkaç ay önce bu iki kusuru ortadan kaldırdılar ve 8.000 dolarlık toplu ödül aldılar.
Pixel telefonlara yönelik Nisan 2024 güvenlik güncellemesi, Pixel'deki ACPM alt bileşenini etkileyen, kritik dereceli bir ayrıcalık yükseltme kusuru olan CVE-2024-29740 da dahil olmak üzere 24 diğer güvenlik açığını giderir.