Google corrige dois dias zero no Pixel que vêm sendo explorados

O Google implementou uma correção zerando a memória ao inicializar o modo fastboot e ativando a conectividade USB somente após a conclusão do processo de zeragem, tornando os ataques impraticáveis. Mas, segundo o GrapheneOS, a correção do Google é parcial e potencialmente inadequada, pois ainda é possível interromper a limpeza cortando a energia do dispositivo.

No caso do CVE-2024-29748, o GrapheneOS afirma que a falha permite que invasores contornem as redefinições de fábrica iniciadas por aplicativos usando a API de administração do dispositivo, tornando essas redefinições inseguras. Os desenvolvedores do sistema operacional dizem que estão trabalhando em uma implementação mais robusta de um PIN/senha de coação e uma ação segura de ‘limpeza de pânico’ que não exigirá reinicialização.

Para acessar o boletim de atualização do Google Pixel de abril clique aqui.

Créditos: CISO Advisor