Google a corrigé deux jours zéro Google Pixel exploités par des cabinets médico-légaux pour déverrouiller des téléphones sans code PIN et accéder aux données qui y sont stockées.
Bien que les Pixels fonctionnent sous Android, ils reçoivent des mises à jour distinctes des correctifs mensuels standard distribués à tous les OEM d’appareils Android. Cela est dû à leur plate-forme matérielle unique, sur laquelle Google a un contrôle direct, et aux fonctionnalités et capacités exclusives.
Alors que le bulletin de sécurité d’avril 2024 pour Android ne contenait rien de grave, le bulletin correspondant d’avril 2024 pour les appareils Pixel révélait une exploitation active de deux vulnérabilités identifiées comme des failles CVE-2024-29745 et CVE-2024-29748.
« Il y a des indications que ce qui suit pourrait faire l’objet d’une exploitation limitée et ciblée », a averti Google.
CVE-2024-29745 est marqué comme une faille de divulgation d’informations de gravité élevée dans le chargeur de démarrage du Pixel, tandis que CVE-2024-29748 est décrit comme un bogue d’élévation de privilèges de gravité élevée dans le micrologiciel du Pixel.
Les chercheurs en sécurité de GrapheneOS, une distribution Android axée sur la confidentialité et la sécurité, ont révélé sur X qu’ils avaient découvert que des sociétés médico-légales exploitaient activement les failles.
Les failles permettent aux entreprises de déverrouiller et d’accéder à la mémoire des appareils Google Pixel, auxquels elles ont un accès physique.
GrapheneOS a découvert et signalé ces failles il y a quelques mois, partageant certaines informations publiquement mais gardant les détails secrets pour éviter d’alimenter une exploitation généralisée lorsqu’un correctif n’était pas encore disponible.
« CVE-2024-29745 fait référence à une vulnérabilité dans le micrologiciel de démarrage rapide utilisé pour prendre en charge le déverrouillage/clignotement/verrouillage », a expliqué GrapheneOS via un thread sur X.
« Les entreprises médico-légales redémarrent les appareils à l’état » Après le premier déverrouillage » en mode de démarrage rapide sur les Pixels et autres appareils pour y exploiter les vulnérabilités, puis vident la mémoire. »
Google a mis en œuvre un correctif en mettant à zéro la mémoire lors du démarrage en mode de démarrage rapide et en activant uniquement la connectivité USB une fois le processus de mise à zéro terminé, rendant les attaques impraticables.
Dans le cas de CVE-2024-29748, GrapheneOS indique que la faille permet aux attaquants locaux de contourner les réinitialisations d’usine initiées par les applications à l’aide de l’API d’administration de l’appareil, ce qui rend ces réinitialisations non sécurisées.
GrapheneOS a déclaré à Breachtrace que le correctif de Google pour cette vulnérabilité est partiel et potentiellement inadéquat, car il est toujours possible d’arrêter l’effacement en coupant l’alimentation de l’appareil.
GrapheneOS dit qu’il travaille sur une implémentation plus robuste d’un code PIN/mot de passe de contrainte et d’une action sécurisée d’effacement de panique qui ne nécessitera pas de redémarrage.
La mise à jour de sécurité d’avril 2024 pour les téléphones Pixel corrige 24 vulnérabilités, dont CVE-2024-29740, une faille d’élévation de privilèges de gravité critique.
Pour appliquer la mise à jour, les utilisateurs de Pixel peuvent accéder à Paramètres > Sécurité et confidentialité > Système et mises à jour > Mise à jour de sécurité, puis appuyez sur Installer. Un redémarrage sera nécessaire pour terminer la mise à jour.