ClickCease Alerte : la faille Zero-Day d'Android exploitée par les téléphones Pixel est corrigée

Rejoignez notre populaire bulletin d'information

Rejoignez plus de 4 500 professionnels de Linux et de l'Open Source!

2 fois par mois. Pas de spam.

Alerte : la faille Zero-Day d'Android exploitée par les téléphones Pixel est corrigée

par Wajahat Raja

Le 18 avril 2024 - L'équipe d'experts de TuxCare

Dans le domaine de la sécurité des smartphonesles projecteurs se sont récemment braqués sur les appareils Google Pixel, où deux vulnérabilités de type "zero-day" ont été mises au jour et rapidement corrigées par Google. Selon rapports récentsla faille faille zero-day d'Androidet d'autres du même type ont été exploitées par des sociétés d'expertise judiciaire, mettant en lumière les subtilités de la sécurité des smartphones et les mesures prises pour sauvegarder les données des utilisateurs et les protéger contre les risques de sécurité mobile. risques de sécurité mobile.

 

Vulnérabilités exploitées, corrections uniques


Les téléphones Google Pixel, bien que fonctionnant avec le système d'exploitation Android, fonctionnent selon un mécanisme de mise à jour distinct. Contrairement aux autres appareils Android, les Pixel reçoivent des mises à jour sur mesure en raison de leur plateforme matérielle spécialisée directement gérée par Google. Cette approche sur mesure garantit que les utilisateurs de Pixel bénéficient de fonctionnalités exclusives et de mesures de sécurité renforcées.

 

Dans le dernier bulletin de sécurité d'avril 2024, alors que l'écosystème Android dans son ensemble n'a pas été confronté à des menaces significatives, les appareils Pixel ont fait l'objet d'une exploitation active de deux vulnérabilités : CVE-2024-29745 et CVE-2024-29748. Ces vulnérabilités présentent des risques de divulgation de vulnérabilité et d'élévation des privilèges, respectivement, soulignant la nature complexe de la sécurité des smartphones.


Coup d'œil sur la faille Zero-Day d'Android


Les sociétés d'expertise judiciaire, adeptes de la navigation
vulnérabilités des appareilsont exploité ces failles pour déverrouiller les téléphones Pixel et accéder à leurs données stockées sans avoir besoin d'une authentification par code PIN. GrapheneOS, un nom réputé dans les distributions Android axées sur la protection de la vie privée, a découvert ces exploits, faisant la lumière sur le monde clandestin des atteintes à la sécurité des smartphones.

 

CVE-2024-29745, identifiée comme une faille de divulgation d'informations de haute sévérité dans le chargeur de démarrage du Pixel, et CVE-2024-29748, caractérisée comme un bogue d'élévation de privilèges dans le micrologiciel du Pixel, ont été les points centraux de l'exploitation. Ces deux failles ont été exploitées. exploits du jour zéroont permis un accès non autorisé à la mémoire de l'appareil, ce qui a suscité des inquiétudes quant à l'intégrité des données et à la protection de la vie privée des utilisateurs.


Correctif de la faille zero-day d'Android dans les téléphones Pixel 


Réagissant rapidement à cette menace imminente, Google a déployé des correctifs visant à
corriger les vulnérabilités. En mettant en œuvre des mesures telles que la mise à zéro de la mémoire pendant le démarrage et la restriction de la connectivité USB jusqu'à la fin du processus, Google a déjoué les attaques potentielles, renforçant ainsi la position de sécurité des appareils Pixel.

 

Toutefois, des problèmes persistent, notamment en ce qui concerne la CVE-2024-29748, pour laquelle la correction de Google, bien que partielle, laisse une marge de manœuvre pour l'exploitation. GrapheneOS a mis en évidence la possibilité de contourner les réinitialisations d'usine initiées par les applications, soulignant la nécessité de mesures de sécurité complètes.

 

Conscient de l'évolution du paysage des menaces, GrapheneOS a entrepris d'affiner les protocoles de sécurité afin de renforcer la résilience des appareils Pixel. Des plans pour une mise en œuvre robuste d'un mécanisme de PIN/mot de passe sous contrainte et d'une action sécurisée d'effacement en cas de panique sont en cours, promettant une protection accrue contre les accès non autorisés.


Sécurité du Google Pixel


La mise à jour de sécurité d'avril 2024 pour les téléphones Pixel témoigne de l'engagement de Google en faveur de la sécurité des utilisateurs. En corrigeant 24 vulnérabilités, dont des failles critiques d'élévation de privilèges, la mise à jour renforce les fondements de la sécurité des appareils Pixel. Pour les utilisateurs de Pixel, la voie vers une sécurité accrue passe par l'application des mesures suivantes
faille Zero-Day d'Android les mises à jour de sécurité.

 

En naviguant vers Réglages > Sécurité et confidentialité > Système et mises à jour > Mise à jour de sécurité et en appuyant sur installerles utilisateurs peuvent protéger leurs appareils contre les menaces de cybersécurité émergentes. Un simple redémarrage complète le processus de mise à jour, garantissant une intégration transparente des correctifs de sécurité.


Conclusion


Dans le monde complexe de la
protection des appareils mobilesla découverte et la résolution de vulnérabilités telles que la faille la faille Android Zero-Day dans les appareils Pixel soulignent la lutte perpétuelle contre des menaces en constante évolution. Grâce aux efforts de collaboration entre les chercheurs et les fabricants, des progrès sont réalisés pour renforcer la sécurité des appareils et préserver la vie privée des utilisateurs. Alors que le paysage numérique continue d'évoluer, la vigilance et les mesures proactives restent primordiales pour se prémunir contre les exploits potentiels.

Les sources de cet article comprennent des articles dans The Hacker News et Trip Wire.

Résumé
Alerte : la faille Zero-Day d'Android exploitée par les téléphones Pixel est corrigée
Nom de l'article
Alerte : la faille Zero-Day d'Android exploitée par les téléphones Pixel est corrigée
Description
Découvrez comment Google s'est attaqué à la faille Android Zero-Day sur les téléphones Pixel, garantissant ainsi une sécurité solide. Restez informé et protégé.
Auteur
Nom de l'éditeur
de TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Devenez rédacteur invité de TuxCare

Courrier

Aidez-nous à comprendre
le paysage Linux !

Répondez à notre enquête sur l'état de l'Open Source et vous pourrez gagner l'un des nombreux prix, dont le premier est d'une valeur de 500 $ !

Votre expertise est nécessaire pour façonner l'avenir d'Enterprise Linux !