Με την ενημέρωση του Google
Pixel
αυτόν τον μήνα, κυκλοφόρησαν πολλές σημαντικές λειτουργίες και ενημερώσεις για το Android, συμπεριλαμβανομένης της τριμηνιαίας λειτουργίας CVE-2024-32896 που κυκλοφορεί. Το υλικολογισμικό είχε ένα σημαντικό ζήτημα ευπάθειας υψηλής σοβαρότητας και η Google προειδοποίησε τους χρήστες ότι αυτή η αδυναμία θα μπορούσε να εκμεταλλευτεί κακούς παράγοντες. Οι χρήστες εξακολουθούσαν να αντιμετωπίζουν την πιθανή απειλή για τα τηλέφωνά τους όταν τους παρουσιάστηκε ένα άλλο χτύπημα ενός από τα τρωτά σημεία που δεχόταν επίθεση. Ενώ το
Ενημερωτικό δελτίο Pixel
ανέφερε το zero-day exploit ως High Severity, η
κυβέρνηση των ΗΠΑ
αποφάσισε να παρέμβει και να πάρει αυτό το θέμα στα χέρια της.
Η κυβέρνηση των ΗΠΑ έχει δώσει στους χρήστες δύο επιλογές: είτε να ενημερώσουν τα τηλέφωνά τους σε 10 ημέρες είτε να διακόψουν τη χρήση της συσκευής
Παρόλο που η Google δεν γνώριζε την ευπάθεια ασφαλείας και δεν μπόρεσε να επιλύσει το πρόβλημα με μια ενημερωμένη έκδοση κώδικα ασφαλείας όταν το γνώρισε για πρώτη φορά, η εκμετάλλευση του zero-day οδήγησε σε έναν αέρα νευρικότητας, ειδικά με την κυβέρνηση των ΗΠΑ να παρέμβει και να εκδώσει μια αυστηρή παραγγελία σχετικά με την ενημέρωση ασφαλείας.
Όπως αναφέρεται από
Forbes
, η κυβέρνηση διέταξε τους ομοσπονδιακούς υπαλλήλους να ακολουθήσουν μία από τις δύο επιλογές: να διακόψουν τη χρήση των συσκευών τους Pixel ή να ενημερώσουν το τηλέφωνο έως τις 4 Ιουλίου. Αυτό δίνει στους χρήστες 10 ημέρες για να ενεργήσουν με την παραγγελία. Ακόμα κι αν η προειδοποίηση απευθύνεται σε κυβερνητικούς φορείς, οι εταιρείες ενδέχεται να ακολουθούν την εντολή και τα άτομα που συνδέονται στο Διαδίκτυο των εταιρειών θα πρέπει επίσης να προχωρήσουν με την ενημέρωση ασφαλείας για να προστατεύονται από οποιαδήποτε πιθανή βλάβη.
Η Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομής (CISA), στις γνωστές καταχωρίσεις του KEV για Εκμεταλλευόμενες ευπάθειες, παρουσίασε τον πιθανό κίνδυνο ασφάλειας στο υλικολογισμικό και προειδοποίησε τους χρήστες του Pixel για το ελάττωμα. Αυτή η ευπάθεια έδωσε στους εισβολείς ένα παράθυρο για πρόσβαση στο τηλέφωνο χρησιμοποιώντας κακόβουλες εφαρμογές, ώστε να έχουν πρόσβαση σε ιδιωτικές πληροφορίες.
Το GrapheneOS ανέφερε ότι το ζήτημα είχε αναφερθεί προηγουμένως τον Απρίλιο και αυτό είναι ένα άλλο μέρος του ίδιου προβλήματος ασφαλείας, της ευπάθειας CVE-2024-29748, για την οποία είχαν δημιουργηθεί επιδιορθώσεις και είχαν ήδη αξιοποιηθεί ενεργά από εγκληματολογικές εταιρείες.
Η
κυκλοφορία
του υλικολογισμικού της αλυσίδας εκκίνησης Pixel τον Απρίλιο περιλαμβάνει διορθώσεις για 2 τρωτά σημεία που αναφέρονται από το GrapheneOS, τα οποία αξιοποιούνται ενεργά στη φύση από εγκληματολογικές εταιρείες:
https://t.co/W9OjQcfZ30
https://t.co/UWAaA9er57
Αυτά έχουν εκχωρηθεί CVE-2024-29745 και CVE-2024-29748.
— GrapheneOS (@GrapheneOS)
2 Απριλίου 2024
Η εταιρεία εξέφρασε περαιτέρω την ανησυχία της ότι το πρόβλημα δεν περιοριζόταν στις
συσκευές
Pixel, δηλώνοντας ότι το ζήτημα θα ανιχνευόταν και στις συσκευές Android και θα επιλυόταν όταν ενημερωθούν σε
Android 15
. Η εταιρεία λέει:
Διορθώθηκε στα Pixels με την ενημέρωση Ιουνίου (Android 14 QPR3) και θα διορθωθεί σε άλλες συσκευές Android όταν τελικά ενημερώσουν στο Android 15.
Οι χρήστες μπορούν να ενημερώσουν τις συσκευές τους Pixel μεταβαίνοντας απλώς στις Ρυθμίσεις, πατώντας στο Systems και επιλέγοντας Ενημέρωση λογισμικού από εκεί, εάν δεν έχουν ακόμη ενημερώσει. Όλοι οι χρήστες Android θα πρέπει να λάβουν σοβαρά υπόψη την προειδοποίηση της CISA για να αποφύγουν οποιαδήποτε ζημιά στις συσκευές τους.
VIA:
wccftech.com
0