Google telah merilis pembaruan keamanan bulanan untuk sistem operasi Android guna mengatasi kelemahan keamanan yang diketahui dan dikatakan telah dieksploitasi secara aktif di alam liar.
Kerentanan dengan tingkat keparahan tinggi, dilacak sebagai CVE-2024-32896 (skor CVSS: 7,8), berkaitan dengan kasus peningkatan hak istimewa dalam komponen Kerangka Kerja Android.
Menurut deskripsi bug di Basis Data Kerentanan Nasional (NVD) NIST, bug tersebut menyangkut kesalahan logika yang dapat menyebabkan peningkatan hak istimewa lokal tanpa memerlukan hak istimewa eksekusi tambahan.
“Ada indikasi bahwa CVE-2024-32896 mungkin mengalami eksploitasi terbatas dan tertarget,” kata Google dalam Buletin Keamanan Android untuk September 2024.
Perlu dicatat bahwa CVE-2024-32896 pertama kali diungkapkan pada bulan Juni 2024 dan hanya berdampak pada jajaran Pixel milik Google.
Saat ini belum ada perincian tentang bagaimana kerentanan ini dieksploitasi secara luas, meskipun pengelola GrapheneOS mengungkapkan bahwa CVE-2024-32896 menyambungkan solusi parsial untuk CVE-2024-29748, kelemahan Android lain yang telah dijadikan senjata oleh perusahaan forensik.
Google kemudian mengonfirmasi kepada The Hacker News bahwa dampak CVE-2024-32896 melampaui perangkat Pixel dan mencakup seluruh ekosistem Android dan bahwa Google bekerja sama dengan produsen peralatan asli (OEM) untuk menerapkan perbaikan jika berlaku.
“Kerentanan ini memerlukan akses fisik ke perangkat untuk mengeksploitasinya dan mengganggu proses pengaturan ulang pabrik,” kata Google saat itu. “Eksploitasi tambahan akan diperlukan untuk membahayakan perangkat.”
“Kami memprioritaskan perbaikan yang berlaku untuk mitra OEM Android lainnya dan akan meluncurkannya segera setelah tersedia. Sebagai praktik keamanan terbaik, pengguna harus selalu memperbarui perangkat mereka setiap kali ada pembaruan keamanan baru yang tersedia.”