Google fixt twee actief misbruikte kwetsbaarheden in Pixel-smartphones

Google heeft twee zerodaykwetsbaarheden in Pixel-smartphones opgelost die door enkele forensische bedrijven actief zouden worden misbruikt. Een kwetsbaarheid bevond zich in de Pixel-fastbootfirmware, terwijl de andere kwetsbaarheid zich in de bootloader bevond.

Google vermeldt de kwetsbaarheden in zijn Pixel Update Bulletin van april 2024 waarin het ook naar beveiligingsupdate 2024-04-05 verwijst. Het bedrijf vermeldt dat er indicaties zijn dat twee kwetsbaarheden, CVE-2024-29745 en CVE-2024-29748, beperkt en gericht worden misbruikt. De ontwikkelaars van GrapheneOS, een privacyvriendelijke fork van Android, schrijven op X dat deze kwetsbaarheden actief misbruikt worden door forensische bedrijven. Welke bedrijven dat zijn, is niet bekend.

Kwetsbaarheid CVE-2024-29745 bevindt zich volgens de ontwikkelaars in de fastboot firmware van Pixel-apparaten, dat mee instaat voor het probleemloos vergrendelen en ontgrendelen van de toestellen. Kwetsbaarheid CVE-2024-29748 verwijst dan weer naar een kwetsbaarheid die ontstaat als een device admin-app een fabrieksreset wil uitvoeren.

April release of the Pixel boot chain firmware includes fixes for 2 vulnerabilities reported by GrapheneOS which are being actively exploited in the wild by forensic companies:https://t.co/W9OjQcfZ30https://t.co/UWAaA9er57

These are assigned CVE-2024-29745 and CVE-2024-29748.

— GrapheneOS (@GrapheneOS) April 2, 2024