Уязвимости CVE-2024-29745 и CVE-2024-29748 активно использовались цифровыми криминалистами.
Компания Google устранила две критические уязвимости нулевого дня в своих смартфонах Pixel, которые позволяли компаниям, специализирующимся на форензике, разблокировать телефоны пользователей без использования PIN-кода и получать доступ к хранимым на них данным.
В бюллетене безопасности Pixel за апрель 2024 года было раскрыто активное использование двух уязвимостей, обозначенных как CVE-2024-29745 и CVE-2024-29748. Первая описана как уязвимость раскрытия информации в загрузчике, а вторая как уязвимость повышения привилегий. Критичность обоих отмечена как «высокая», однако точная оценка по шкале CVSS пока не предоставлена.
Специалисты из команды GrapheneOS, специализирующиеся на создании одноимённого Android-дистрибутива с акцентом на безопасность, сообщили, что данные уязвимости активно эксплуатировались компаниями, специализирующимися на форензике (цифровой криминалистике) в виде zero-day, для разблокировки устройств подозреваемых. Уязвимости позволяли таким компаниям разблокировать и получать доступ к памяти устройств Pixel, к которым у них был физический доступ.
Команда GrapheneOS впервые обнаружила эти уязвимости и сообщила о них компании Google несколько месяцев назад, опубликовав часть информации ранее, но не раскрывая всех деталей до тех пор, пока не стало доступно исправление, чтобы избежать широкомасштабной эксплуатации.
Если рассмотреть практическую реализацию уязвимостей, стоит отметить, что для эксплуатации CVE-2024-29745 устройство должно быть хоть раз разблокировано после запуска, чтобы необходимые криптографические ключи оказались в памяти быстрого доступа. После чего смартфон можно перезагрузить в режим fastboot, беспрепятственно сделать дамп памяти и выгрузить его по USB.
В применении CVE-2024-29748 задействован процесс прерывания сброса устройства до заводских настроек, инициированных сторонними приложениями с административным доступом. Например, если владелец гаджета заранее установил себе специализированную программу, позволяющую сбросить устройство с высокочувствительной информацией удалённо, по сценарию или таймеру, уязвимость позволяла прервать этот процесс, а затем заполучить доступ к конфиденциальным данным.
Исправления Google предусматривают обнуление памяти при переходе в режим fastboot и активацию подключения по USB только после завершения процесса сброса до заводских настроек, что делает подобные атаки непрактичными.
Однако, несмотря на то, что уязвимости были исправлены, сама команда GrapheneOS считает, что исправление получилось неполноценным, поскольку, в случае с CVE-2024-29748, устройство всё ещё можно принудительно выключить во время сброса настроек, тем самым прервав этот процесс и заполучив возможность для дальнейшей компрометации.
Тем не менее, всем владельцам устройств Pixel рекомендуется установить апрельское обновление безопасности, так как помимо этих двух проблем там были исправлены ещё 22 уязвимости, включая CVE-2024-29740 с критической степенью серьёзности. С полным списком исправлений можно ознакомиться в вышеупомянутом бюллетени безопасности Pixel.
Для ручной установки обновления пользователи Pixel могут перейти в системные настройки, пункт «Безопасность и конфиденциальность» > «Система и обновления» > «Обновление безопасности» и нажать на установку. Для завершения обновления потребуется перезагрузка.
Одно найти легче, чем другое. Спойлер: это не темная материя