Google ha recentemente rilasciato delle patch per correggere 50 vulnerabilità di sicurezza che interessano i dispositivi Pixel, avvertendo che una di queste è già stata sfruttata in attacchi mirati come zero-day.
La vulnerabilità in questione, tracciata come CVE-2024-32896, è un difetto di elevazione dei privilegi (EoP) nel firmware Pixel, considerato un problema di sicurezza ad alta gravità.
Google ha aggiunto un nuovo ID CVE per tracciare la correzione per Pixel relativa a CVE-2024-29748, che era stata sfruttata da diverse aziende forensi. Queste aziende hanno utilizzato la falla per agire contro utenti che avevano installato app come Wasted e Sentry, progettate per cancellare il dispositivo in caso di attacco rilevato.
GrapheneOS, l'azienda alla base dell'omonimo OS concentrato sulla sicurezza mobile, ha riferito di aver affrontato il problema come parte della loro funzionalità PIN/password per situazioni di emergenza e di aver segnalato la vulnerabilità a Google affinché fosse risolta a livello di sistema operativo Android, cosa che è stata fatta.
La vulnerabilità è stata risolta sui dispositivi Pixel con l'aggiornamento di giugno (Android 14 QPR3) e sarà risolta sugli altri dispositivi Android con l'aggiornamento ad Android 15. Tuttavia, se un dispositivo non viene aggiornato ad Android 15, probabilmente non riceverà la correzione poiché non è stata retroportata.
Inoltre, Google ha identificato altre 44 vulnerabilità di sicurezza nel bollettino di aggiornamento Pixel di questo mese, sette delle quali sono vulnerabilità di escalation dei privilegi considerate critiche che impattano vari sottocomponenti.
Nonostante i dispositivi Pixel eseguano Android, ricevono aggiornamenti di sicurezza e correzioni di bug separati rispetto alle patch mensili standard distribuite a tutti gli OEM Android, grazie alle loro funzionalità esclusive e alla piattaforma hardware unica direttamente controllata da Google.
Per applicare l'aggiornamento di sicurezza, gli utenti Pixel devono andare su Impostazioni > Sicurezza e privacy > Sistema e aggiornamenti > Aggiornamento di sicurezza, toccare Installa e riavviare il dispositivo per completare il processo di aggiornamento.
All'inizio di questo mese, Arm ha avvertito di una vulnerabilità legata alla memoria (CVE-2024-4610) nei driver del kernel GPU Bifrost e Valhall, sfruttata in natura.
Questa vulnerabilità di tipo use-after-free (UAF) impatta tutte le versioni dei driver Bifrost e Valhall dalla r34p0 alla r40p0 e può essere sfruttata in attacchi che portano alla divulgazione di informazioni e all'esecuzione arbitraria di codice.
In aprile, Google aveva già corretto altri due zero-day sui Pixel, sfruttati da aziende forensi per sbloccare i telefoni senza PIN e accedere ai dati. CVE-2024-29745 era stata classificata come una vulnerabilità di divulgazione di informazioni ad alta gravità nel bootloader di Pixel, mentre CVE-2024-29748 era una vulnerabilità di escalation dei privilegi ad alta gravità nel firmware Pixel.
Questi update di sicurezza sottolineano l'importanza di mantenere sempre aggiornati i propri dispositivi per proteggersi da potenziali minacce. La velocità con cui Google ha risposto e corretto queste vulnerabilità è un promemoria della continua evoluzione delle minacce di sicurezza e della necessità di una vigilanza costante.