ClickCease Alerta: parcheado el fallo de día cero explotado en Android de los teléfonos Pixel

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

Alerta: parcheado el fallo de día cero explotado en Android de los teléfonos Pixel

por Wajahat Raja

18 de abril de 2024 - Equipo de expertos TuxCare

En el ámbito de la seguridad de los smartphonesla atención se ha centrado recientemente en los dispositivos Google Pixel, en los que se han descubierto dos vulnerabilidades de día cero que Google ha solucionado rápidamente. Según informes recientesel fallo de día cero de Androidy otros similares, fueron explotados por empresas forenses, arrojando luz sobre las complejidades de la seguridad de los teléfonos inteligentes y las medidas adoptadas para salvaguardar los datos de los usuarios y protegerse contra estos riesgos de seguridad móvil.

 

Vulnerabilidades explotadas, soluciones únicas


Los teléfonos Google Pixel, aunque se ejecutan en el sistema operativo Android, operan bajo un mecanismo de actualización distinto. A diferencia de otros dispositivos Android, los Pixel reciben actualizaciones personalizadas debido a su plataforma de hardware especializada gestionada directamente por Google. Este enfoque a medida garantiza que los usuarios de Pixel se beneficien de funciones exclusivas y medidas de seguridad reforzadas.

 

En el último boletín de seguridad de abril de 2024, mientras que el ecosistema Android en general no se enfrentó a amenazas significativas, los dispositivos Pixel se enfrentaron a la explotación activa de dos vulnerabilidades: CVE-2024-29745 y CVE-2024-29748. Estas vulnerabilidades planteaban riesgos de divulgación de vulnerabilidades y de elevación de privilegios, respectivamente, lo que pone de relieve la intrincada naturaleza de la seguridad de los smartphones.


Un vistazo al fallo de día cero de Android


Las empresas forenses, expertas en explorar
vulnerabilidades de los dispositivosaprovecharon estos fallos para desbloquear los teléfonos Pixel y acceder a sus datos almacenados sin necesidad de autenticación mediante PIN. GrapheneOS, un nombre de renombre en distribuciones de Android centradas en la privacidad, descubrió estos exploits, arrojando luz sobre el mundo clandestino de las brechas de seguridad de los smartphones.

 

CVE-2024-29745, identificado como un fallo de divulgación de información de alta gravedad en el cargador de arranque del Pixel, y CVE-2024-29748, caracterizado como un fallo de elevación de privilegios en el firmware del Pixel, fueron los focos de explotación. Estos exploits de día ceros permitieron el acceso no autorizado a la memoria del dispositivo, lo que plantea preocupaciones con respecto a la integridad de los datos y la privacidad del usuario.


Cómo parchear el fallo de día cero de Android en los teléfonos Pixel 


Respondiendo rápidamente a la amenaza inminente, Google desplegó correcciones destinadas a
parchear vulnerabilidades. Mediante la aplicación de medidas como la puesta a cero de la memoria durante el arranque y la restricción de la conectividad USB hasta que se complete el proceso, Google frustró posibles ataques, reforzando la seguridad de los dispositivos Pixel.

 

Sin embargo, persistían los problemas, sobre todo con la CVE-2024-29748, cuya corrección por parte de Google, aunque parcial, dejaba margen para la explotación. GrapheneOS puso de relieve la posibilidad de eludir los reinicios de fábrica iniciados por aplicaciones, lo que subraya la necesidad de medidas de seguridad integrales.

 

Consciente de la evolución del panorama de las amenazas, GrapheneOS se embarcó en el perfeccionamiento de los protocolos de seguridad, con el objetivo de reforzar la resistencia de los dispositivos Pixel. Se está planificando la implementación de un mecanismo de PIN/contraseña por coacción y una acción segura de "borrado por pánico", lo que promete una mayor protección frente a accesos no autorizados.


Google Pixel Seguridad


La actualización de seguridad de abril de 2024 para los teléfonos Pixel es un testimonio del compromiso de Google con la seguridad de los usuarios. Esta actualización, que aborda 24 vulnerabilidades, entre ellas fallos críticos de elevación de privilegios, refuerza los cimientos de la seguridad de los dispositivos Pixel. Para los usuarios de Pixel, el camino hacia una mayor seguridad radica en la aplicación de
Android Zero-Day flaw actualizaciones de seguridad.

 

Navegando hasta Ajustes > Seguridad y privacidad > Sistema y actualizaciones > Actualización de seguridad y pulsando instalarlos usuarios pueden proteger sus dispositivos contra amenazas de ciberseguridad. Un simple reinicio completa el proceso de actualización, garantizando una integración perfecta de los parches de seguridad.


Conclusión


En el complejo mundo de la
protección de dispositivos móvilesel descubrimiento y la resolución de vulnerabilidades como el fallo de día cero de Android en los dispositivos Pixel ponen de relieve la batalla perpetua contra las amenazas en evolución. Gracias a los esfuerzos de colaboración entre investigadores y fabricantes, se avanza hacia el fortalecimiento de la seguridad de los dispositivos y la preservación de la privacidad de los usuarios. A medida que el panorama digital sigue evolucionando, la vigilancia y las medidas proactivas proactivas siguen siendo fundamentales para protegerse de posibles ataques.

Las fuentes de este artículo incluyen artículos en The Hacker News y Trip Wire.

Resumen
Alerta: parcheado el fallo de día cero explotado en Android de los teléfonos Pixel
Nombre del artículo
Alerta: parcheado el fallo de día cero explotado en Android de los teléfonos Pixel
Descripción
Descubre cómo Google abordó el fallo Android Zero-Day en los teléfonos Pixel, garantizando una seguridad sólida. Mantente informado y protegido.
Autor
Nombre del editor
TuxCare
Logotipo de la editorial

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Conviértete en escritor invitado de TuxCare

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín