2 vulnerabilidades en los Google Pixel hacen intervenir a EE.UU.
El gobierno de los Estados Unidos ha tenido que entrar de lleno
en una problemática que ha afectado a Google, y se cree que también
a algunos terminales de Android. Dos graves
vulnerabilidades en Google, Pixel y Android han hecho temblar a
EE.UU. hasta el punto de que se les pide a los trabajadores que
actualicen sus Pixel o dejen de usarlos. ¿Tan graves son estas
vulnerabilidades detectadas en Google para que los Pixel dejen de
funcionar en estancias gubernamentales?
Asignadas como CVE-2024-29745 y CVE-2024-29748,
las dos vulnerabilidades reportadas por
GrapheneOS dejan claro que a Google se le ha atragantado la
seguridad en los últimos meses. La gravedad de ambas es de tal
calibre que los empleados federales tienen órdenes directas
amparadas por la Agencia de Seguridad de Infraestructura y
Ciberseguridad de EE.UU., así que es un tema serio.
Vulnerabilidades en los Google Pixel y Android: gravedad
crítica, parches online y una actualización que EE.UU. acelera
La actualización de Google de este mes traía sorpresa mediante
parches de seguridad específicos para los teléfonos Pixel, pero
también para cualquier otro smartphone con Android 14. El tipo de
gravedad es crítica según afirma GrapheneOS:
CVE-2024-29745 hace referencia a una
vulnerabilidad en el firmware fastboot utilizado para
admitir el desbloqueo/flasheo/bloqueo. Las empresas forenses están
reiniciando dispositivos después del primer desbloqueo en modo
fastboot en Pixels y otros dispositivos para explotar
vulnerabilidades allí y luego volcar la
memoria.CVE-2024-29748
hace referencia a una vulnerabilidad que brinda la capacidad de
interrumpir un restablecimiento de fábrica
activado por una aplicación de administración del
dispositivo.
Por tanto, estas dos vulnerabilidades pueden ser usadas por
atacantes para conseguir un acceso al terminal al completo, aunque
bien es cierto que en ambas se tiene que tener acceso físico, pero,
¿quién no ha perdido un móvil o se lo han robado por desgracia?
Ambas vulnerabilidades han puesto nerviosa a la CISA, y el gobierno
de EE.UU. ha intervenido ante la gravedad de
las mismas.
Los empleados tienen dos opciones obligatorias, los usuarios,
en cambio, deben actualizar lo antes posible
Los empleados federales tienen dos opciones: dejar de usar los
teléfonos Pixel o actualizarlos antes del 4 de julio. Esto parece
que está siendo aplicado también por ciertas empresas privadas, que
están haciendo lo propio con sus empleados. La solución ya está
online y disponible por parte de Google, por lo que lo más fácil es
actualizar y seguir con el terminal como si nada.
El problema es que el primer aviso que dio GrapheneOS es
de abril, y los atacantes han tenido dos meses para
hacerse con terminales y poder explotar los exploit hasta que
Google ha podido lanzar la solución. Igualmente, parece que con la
siguiente versión del SO más usado del mundo esto se solucionará
para todos:
Las vulnerabilidades se solucionaron en los teléfonos
Pixels con la actualización de junio (Android 14 QPR3) y
se solucionará en otros dispositivos Android cuando
finalmente se actualicen a Android 15.
En otras palabras, hay terminales que no están parcheados y
siguen sufriéndolas. Lo curioso de este asunto es que Google no
desvela cuáles están afectados, así que lo único que se puede hacer
es no perder el teléfono ni dejarlo en sitios donde pueda ser
robado para no jugárnosla con ambas vulnerabilidades ante un
posible ataque.
Es de esperar que en octubre se lance Android
15 con la presentación de los Pixel 9, así que para todos
los que no tengan uno de los terminales de la gran G toca
esperar.
