Google, adli tıp firmaları tarafından PIN olmadan telefonların kilidini açmak ve içlerinde depolanan verilere erişim sağlamak için kullanılan iki Google Pixel sıfır gününü düzeltti.
Pixel'ler Android çalıştırsa da, tüm Android cihaz OEM'lerine dağıtılan standart aylık yamalardan ayrı güncellemeler alırlar. Bunun nedeni, Google'ın doğrudan kontrolüne sahip olduğu benzersiz donanım platformları ile ayrıcalıklı özellikler ve yeteneklerdir.
Android için Nisan 2024 güvenlik bülteni ciddi hiçbir şey içermese de, Pixel cihazlara yönelik ilgili Nisan 2024 bülteni, CVE-2024-29745 ve CVE-2024-29748 kusurları olarak takip edilen iki güvenlik açığından aktif olarak yararlanıldığını açıkladı.
Google, “Aşağıdakilerin sınırlı, hedefli istismara maruz kalabileceğine dair göstergeler var” diye uyardı.
CVE-2024-29745, Pixel'in önyükleyicisinde yüksek önemde bir bilgi ifşa hatası olarak işaretlenirken CVE-2024-29748, Pixel donanım yazılımında yüksek önemde bir ayrıcalık yükseltme hatası olarak tanımlanıyor.
Gizliliği geliştirilmiş ve güvenlik odaklı bir Android dağıtımı olan GrapheneOS'un güvenlik araştırmacıları, X'te adli tıp şirketlerinin kusurlardan aktif olarak yararlandığını keşfettiklerini açıkladı.
Kusurlar, şirketlerin fiziksel erişime sahip oldukları Google Pixel cihazlarındaki belleğin kilidini açmasına ve belleğe erişmesine olanak tanıyor.
GrapheneOS bu kusurları birkaç ay önce keşfetti ve bildirdi; bazı bilgileri kamuya açık olarak paylaştı ancak henüz bir yama mevcut olmadığında yaygın istismarı körüklemekten kaçınmak için ayrıntıları açıklanmadı.
GrapheneOS, “CVE-2024-29745, kilit açma/flashlama/kilitlemeyi desteklemek için kullanılan fastboot ürün yazılımındaki bir güvenlik açığını ifade ediyor” dedi. X'teki iş parçacığı.
“Adli tıp şirketleri, buradaki güvenlik açıklarından yararlanmak ve ardından belleği boşaltmak için Pixel'lerde ve diğer cihazlarda 'İlk Kilit Açmadan Sonra' durumundaki cihazları fastboot moduna yeniden başlatıyor.”
Google, fastboot modunda önyükleme yaparken belleği sıfırlayarak ve USB bağlantısını yalnızca sıfırlama işlemi tamamlandıktan sonra etkinleştirerek, saldırıları kullanışsız hale getiren bir düzeltme uyguladı.
GrapheneOS, CVE-2024-29748 durumunda, kusurun yerel saldırganların cihaz yöneticisi API'sini kullanan uygulamalar tarafından başlatılan fabrika sıfırlamalarını atlatmasına olanak tanıdığını ve bu tür sıfırlamaları güvensiz hale getirdiğini söylüyor.
GrapheneOS, BleepingComputer'a Google'ın bu güvenlik açığına yönelik düzeltmesinin kısmi ve potansiyel olarak yetersiz olduğunu, zira cihazın gücünü keserek silme işleminin durdurulmasının hâlâ mümkün olduğunu söyledi.
GrapheneOS, zorlama PIN'i/şifresinin daha sağlam bir uygulaması ve yeniden başlatmayı gerektirmeyecek güvenli bir 'panik silme' eylemi üzerinde çalıştığını söylüyor.
Pixel telefonlara yönelik Nisan 2024 güvenlik güncellemesi, kritik önem derecesine sahip ayrıcalık yükselmesi kusuru olan CVE-2024-29740 da dahil olmak üzere 24 güvenlik açığını giderir.
Güncellemeyi uygulamak için Pixel kullanıcıları şuraya gidebilir: Ayarlar > Güvenlik > Sistem güncellemeleri > Güvenlik güncellemesive dokunun düzenlemek. Güncellemeyi tamamlamak için yeniden başlatma gerekecektir.