Google telah memperbaiki dua kerentanan keamanan besar di ponsel Pixel-nya dan mengungkapkan detailnya awal minggu ini, namun baru setelah mereka digunakan oleh perusahaan forensik untuk mendapatkan akses tanpa perlu PIN.
Dalam buletin pembaruan Pixel, Google mencantumkan dua kerentanan tersebut sebagai CVE-2024-29745, sebuah kerentanan pengungkapan informasi dalam bootloader, dan CVE-2024-29748, sebuah kerentanan eskalasi hak istimewa dalam firmware. Seperti biasa, Google tidak mengakui kerentanan tersebut sampai ada patch untuk memperbaikinya.
Google menilai kerentanan ini sebagai “tingkat keparahan tinggi” dan merekomendasikan agar semua pengguna memperbarui ponsel mereka segera. “Ada indikasi,” peringatan Google mengatakan, “bahwa kerentanan ini mungkin dieksploitasi secara terbatas dan tertarget.”
Kerentanan tersebut ditemukan oleh para pembuat GrapheneOS, sistem operasi seluler sumber terbuka yang berfokus pada privasi dan keamanan berbasis Android. Para peneliti mengatakan bahwa untuk mengeksploitasi kerentanan tersebut, perusahaan forensik harus me-reboot perangkat Pixel ke dalam mode fastboot.
Berikut adalah saran dari posting GrapheneOS kepada Google mengenai pembaruan potensial: “Kami menyarankan untuk mengosongkan memori dalam firmware saat me-reboot ke mode fastboot untuk menghapus seluruh jenis serangan. Mereka menerapkan ini dengan mengosongkan memori saat me-reboot ke mode fastboot. USB hanya diaktifkan oleh mode fastboot setelah pengosongan memori selesai, sehingga mencegah serangan-serangan ini.”
Jika Anda belum melakukannya, ini saat yang tepat untuk memastikan Anda memiliki pembaruan keamanan Pixel terbaru. Untuk memeriksanya, buka Pengaturan, gulir ke bawah, dan ketuk “Keamanan dan privasi.” Ketuk “Periksa pembaruan” di bawah “Sistem & pembaruan” dan ikuti petunjuknya. Jika Anda memiliki perangkat Google yang didukung, Anda seharusnya menerima pembaruan ke patch 2024-04-05.