Luki zero-day w Androidzie w Google Pixel
Ostrzeżenie o lukach typu zero-day, tj. CVE-2024-29745 i CVE-2024-29748 zostały wydane przez Google. Firma potwierdziła, że są groźne i mogą zostać wykorzystane przez cyberprzestępców.
CVE-2024-29745 dotyczy błędu ujawniania informacji w komponencie programu ładującego, natomiast CVE-2024-29748 związany jest z błędem eskalacji uprawnień w komponencie oprogramowania sprzętowego.
Chociaż Google nie ujawniło szczegółów na temat konkretnych cyberataków wykorzystujących te luki, zespół GrapheneOS, specjalizujący się w cyberbezpieczeństwie, zauważył ich aktywne wykorzystanie przez organizacje cyberprzestępcze.
Cyberprzestępcy wykorzystują luki w Androidzie
Według GrapheneOS cyberprzestępcy wykorzystują rzeczone luki, aby ponownie uruchomić urządzenia w stanie „After First Unlock” w trybie szybkiego uruchamiania, a następnie pobrać pliki ze smartfona.
Cyberprzestępcy korzystają z luk także w celu przerwania przywracania ustawień fabrycznych wyzwalanego przez interfejs API administratora urządzenia.
Osoby korzystające z smartfonów Google Pixel powinny być szczególnie czujne i podjąć odpowiednie środki ostrożności. W przypadku istnienia luk w systemie zaleca się unikanie pobierania czegokolwiek z nieznanych stron WWW oraz instalowania aplikacji z zewnętrznych źródeł.
Google załata luki?
Po ujawnieniu luk zespół GrapheneOS wezwał Google do wprowadzenia funkcji automatycznego ponownego uruchamiania, która utrudniłaby cyberprzestępcom wykorzystanie podatności w oprogramowaniu smartfonów.
Jest to krok w kierunku zwiększenia cyberbezpieczeństwa użytkowników telefonów Google Pixel oraz innych urządzeń działających na systemie Android.
9 milionów dolarów za exploity?
Tymczasem firma Crowdfense, która zajmuje się pozyskiwaniem exploitów i badaniem podatności, oferuje 9 milionów dolarów osobom, które dostarczą exploity pełnego łańcucha, polegające na zerowym kliknięciu – w systemach iOS i Android.
Crowdfense oferuje także setki tysięcy dolarów za mniej skuteczne exploity ucieczki z piaskownicy, których celem są przeglądarki Chrome i Safari. Według firmy w ramach programu oceniane będą wyłącznie w pełni funkcjonalne, najwyższej jakości exploity typu zero-day.
Crowdfense nie jest jedyną firmą, która chce pozyskać exploity na Androida i iOS. W zeszłym roku rosyjska firma Operation Zero, zajmująca się przejęciami typu zero-day, ogłosiła, że jest gotowa zapłacić do 20 milionów dolarów za łańcuchy pełnych exploitów ukierunkowane na platformy mobilne iOS i Android, twierdząc, że jest to „duży popyt na rynku”.
To wszystko pokazuje, że zarówno eksperci ds. cyberbezpieczeństwa, jak i cyberprzestępcy uważnie monitorują popularne systemy smartfonów. Oczywiście – jedni aby nas chronić, drudzy zaś by zaszkodzić.
