Google a dezvăluit mai multe defecte de securitate pentru telefoanele care au GPU-uri Mali, cum ar fi cele cu chipset-uri Exynos. Echipa Project Zero a companiei spune că a semnalat problemele către ARM (care produce GPU-urile) încă din vară.
ARM spune a rezolvat problemele în iulie și august. Cu toate acestea, producătorii de smartphone-uri, inclusiv Samsung, Xiaomi, Oppo și Google în sine, nu au implementat corecții pentru a remedia vulnerabilitățile de la începutul acestei săptămâni, a spus Project Zero.
Cercetătorii au identificat cinci probleme noi în iunie și iulie și le-au semnalat prompt către ARM.
„Una dintre aceste probleme a dus la coruperea memoriei kernelului, una a dus la dezvăluirea adreselor de memorie fizică în spațiul utilizatorului, iar celelalte trei au dus la o condiție fizică de utilizare a paginii după eliberare”, a scris Ian Beer de la Project Zero într-o postare pe blog. „Acestea ar permite unui atacator să continue să citească și să scrie pagini fizice după ce acestea au fost returnate în sistem”.
Beer a remarcat că ar fi posibil ca un hacker să obțină acces deplin la un sistem, deoarece ar putea ocoli modelul de permisiuni pe Android și ar putea obține „acces larg” la datele unui utilizator. Atacatorul ar putea face acest lucru forțând nucleul să refolosească paginile fizice menționate mai sus ca tabele de pagini.
Project Zero a constatat că, la trei luni după ce ARM a remediat aceste probleme, toate dispozitivele de testare ale echipei erau încă vulnerabile la defecte. De marți, problemele nu au fost menționate „în niciun buletin de securitate” de la producătorii de Android.
Deși Google, Samsung, Oppo și Xiaomi au fost întrebați când vor implementa corecțiile pe dispozitivele lor Android și de ce le-a durat atât de mult să facă acest lucru, aceștia nu au răspuns până acum. După cum notează SamMobile, dispozitivele din seria Galaxy S22 de la Samsung și telefoanele cu motor Snapdragon ale companiei nu sunt afectate de aceste vulnerabilități.
