May kahinaan sa Mga aparato ng Pixel na pinaniniwalaan ng Google na "maaaring nasa ilalim ng limitado, naka-target na pagsasamantala." Alinsunod dito, hinihimok ng gobyerno ng US ang lahat ng empleyado nito na gamitin ang device para i-update ang kanilang mga unit para maiwasan ang mga karagdagang isyu. Gayunpaman, ayon sa isang kamakailang ulat mula sa isang grupo ng eksperto sa seguridad, maaaring hindi limitado sa mga Pixel phone ang problema kundi sa lahat ng Android device.
Google natugunan ang ilang isyu sa mga ginawa nitong Pixel sa pag-update noong Hunyo. Ang isang partikular na kahinaan na nalutas ay ang CVE-2024-32896, na may mataas na katayuan ayon sa mga talaan ng kumpanya. Maging ang gobyerno ng US ay sineseryoso ang usapin, na sinasabi sa mga empleyado nito na i-update ang kanilang mga device sa loob ng 10 araw "o ihinto ang paggamit ng produkto."
Ayon sa listahan ng Known Exploited Vulnerabilities ng US Cybersecurity and Infrastructure Security Agency, "Ang Android Pixel ay naglalaman ng hindi natukoy na kahinaan sa firmware na nagbibigay-daan para sa pagtaas ng pribilehiyo." Sa pamamagitan nito, ang zero-day exploit ay maaaring magbigay-daan sa mga umaatake na magnakaw ng mahalagang impormasyon mula sa mga user.
Kapansin-pansin, inihayag ng non-profit na grupong GrapheneOS na ang isyu ay hindi limitado sa mga Pixel device.
“Ang CVE-2024-32896 na minarkahan bilang aktibong pinagsamantalahan sa wild sa June 2024 Pixel Update Bulletin ay ang ika-2 bahagi ng pag-aayos para sa vulnerability ng CVE-2024-29748 na inilarawan namin…,” ibinahagi ni GrapheneOS sa isang kamakailang post. "Tulad ng ipinaliwanag namin... wala sa mga ito ang talagang partikular sa Pixel."
Ayon sa GrapheneOS, malulutas lamang ang isyu sa pamamagitan ng pag-update ng Android 15.
"Nakatakda ito sa Pixels na may update sa Hunyo (Android 14 QPR3) at aayusin sa iba pang mga Android device kapag nag-update sila sa Android 15," sabi ng grupo. "Kung hindi sila mag-a-update sa Android 15, malamang na hindi nila makuha ang pag-aayos, dahil hindi ito na-backport."
Via Forbes
