Il team Project Zero di Google ha rivelato diversi difetti di sicurezza per i telefoni con GPU Mali, come quelli con SoC Exynos. Il team afferma di aver segnalato i problemi ad ARM (che progetta le GPU) in estate. ARM ha risolto i problemi alla fine di luglio e agosto. Tuttavia, i produttori di smartphone tra cui Samsung, Xiaomi, Oppo e Google stessa non avevano distribuito patch di sicurezza per correggere le vulnerabilità all’inizio di questa settimana, ha affermato Project Zero.
I ricercatori hanno identificato cinque nuovi problemi a giugno e luglio e li hanno prontamente segnalati ad ARM. “Uno di questi problemi ha portato alla corruzione della memoria del kernel, uno ha portato alla divulgazione degli indirizzi di memoria fisica allo spazio utente e gli altri tre hanno portato a una condizione fisica di utilizzo dopo la libertà della pagina“, ha scritto Ian Beer di Project Zero in un post sul blog. “Questi consentirebbero a un utente malintenzionato di continuare a leggere e scrivere pagine fisiche dopo che sono state restituite al sistema“.
Beer ha osservato che sarebbe possibile per un hacker ottenere l’accesso completo a un sistema in quanto sarebbe in grado di aggirare il modello di autorizzazioni su Android e ottenere un “ampio accesso” ai dati di un utente. L’attaccante potrebbe farlo forzando il kernel a riutilizzare le suddette pagine fisiche come tabelle di pagine.
Project Zero ha scoperto che, tre mesi dopo che ARM ha risolto questi problemi, tutti i dispositivi di test del team erano ancora vulnerabili ai difetti. Nelle ultime patch i problemi non sono stati menzionati “in nessun bollettino sulla sicurezza” dei produttori di Android.
Come osserva SamMobile, i dispositivi della serie Galaxy S22 di Samsung e i telefoni basati su Snapdragon dell’azienda non sono interessati da queste vulnerabilità.
