关注公众号： 网络研究观 获取更多信息

本周，谷歌工程师修复了Android 中的 28 个漏洞和 Pixel 设备中的 25 个错误，其中包括两个已经被利用的问题。

据报道，网络取证已利用 Google Pixel 0day 漏洞在没有 PIN 码的情况下解锁智能手机并获取存储在其中的数据的访问权限。

尽管 Pixel 智能手机运行 Android，但它们会从分发给所有 Android 设备 OEM 的标准每月补丁中获得单独的更新。

如果 Android 4 月份的补丁 不包含关键补丁，Pixel 会立即修复两个0day漏洞：CVE-2024-29745 和 CVE-2024-29748。

CVE-2024-29745 被描述为Pixel 引导加载程序中的严重信息泄露缺陷，而 CVE-2024-29748 是在 Pixel 固件中发现的，与权限升级有关。

基于 Android 的 GrapheneOS 的开发者专注于隐私和安全， 他们在 X 上表示 ，这些漏洞经常被网络取证所利用。

据发现这些漏洞并向 Google 报告的研究人员称，CVE-2024-29745 和 CVE-2024-29748允许解锁 Google Pixel 设备的内存（需要物理访问）并访问数据。

回想一下，2024 年 1 月，GrapheneOS 的开发人员警告了固件中发现的错误，但随后没有透露细节。

现在专家表示，CVE-2024-29745 问题与用于解锁、刷新和锁定设备的 fastboot 固件中的漏洞有关。

研究人员表示：“Cyber​​forensics 正在快速启动模式下以首次解锁后模式重新启动 Pixel 和其他设备，以利用该漏洞，然后执行内存转储。”

谷歌已经解决了这个问题：现在，在快速启动模式下启动时，内存会被清除，并且仅在重置过程结束时才会激活USB连接。

至于 CVE-2024-29748，该缺陷允许本地攻击者使用管理 API 绕过应用程序启动的出厂重置，从而导致出厂重置不安全。

据 GrapheneOS 开发人员称，谷歌针对此漏洞提供的修复是部分的，并且可能无效，因为仍然有可能通过关闭设备电源来中断恢复。