Google a révélé que deux failles de sécurité Android affectant ses smartphones Pixel ont été exploitées sauvagement par des sociétés médico-légales.
Les vulnérabilités Zero Day de haute gravité sont les suivantes :
- CVE-2024-29745 – Une faille de divulgation d’informations dans le composant bootloader
- CVE-2024-29748 – Une faille d’élévation de privilèges dans le composant firmware
“Il y a des indications selon lesquelles [vulnerabilities] pourrait faire l’objet d’une exploitation limitée et ciblée”, a déclaré Google dans un avis publié le 2 avril 2024.
Bien que le géant de la technologie n’ait révélé aucune autre information sur la nature des attaques exploitant ces lacunes, les responsables de GrapheneOS ont déclaré qu’elles “étaient activement exploitées dans la nature par des sociétés médico-légales”.
“CVE-2024-29745 fait référence à une vulnérabilité dans le firmware fastboot utilisé pour prendre en charge le déverrouillage/clignotement/verrouillage”, disent-ils. dit dans une série de messages sur X (anciennement Twitter).
“Les sociétés médico-légales redémarrent les appareils en état After First Unlock en mode de démarrage rapide sur les Pixels et d’autres appareils pour y exploiter les vulnérabilités, puis vider la mémoire.”
GrapheneOS a noté que CVE-2024-29748 pourrait être utilisé par des attaquants locaux pour interrompre une réinitialisation d’usine déclenchée via l’API d’administration de l’appareil.
La divulgation intervient plus de deux mois après l’équipe GrapheneOS révélé que les sociétés médico-légales exploitent les vulnérabilités du micrologiciel qui affectent les téléphones Google Pixel et Samsung Galaxy pour voler des données et espionner les utilisateurs lorsque l’appareil n’est pas au repos.
Il a également exhorté Google à introduire une fonctionnalité de redémarrage automatique pour rendre plus difficile l’exploitation des failles du micrologiciel.