Старые уязвимости по нулевым дне остаются невыасованными на Samsung, Google телефоны

Старые уязвимости по нулевым дне остаются невыасованными на Samsung, Google телефоны

Команда Google Project Zero находится на переднем крае цифровой безопасности, анализирует код, отчетность об ошибках и, как правило, делает интернет более безопасным. Однако не каждая уязвимость зафиксирована своевременно. Недавняя партия серьезных недостатков в Mali GPU ARM сообщила Project Zero и зафиксирована производителем. Тем не менее, поставщики смартфонов никогда не реализовали патчи, среди которых сам Google. Итак, это немного смущающе.

История начинается в июне 2022 года, когда исследователь Project Zero Maddie Stone выступил с презентацией по подвигам нулевого дня-известных уязвимостей, для которых нет доступного патча. В разговоре использовалась уязвимость, идентифицированная как CVE-2021-39793 и Pixel 6 в качестве примера. Этот недостаток позволил приложениям получить доступ к страницам памяти только для чтения, которые могут утечь личные данные. После этого исследователь Джанн Хорн начал более внимательно изучать код графического процессора Arm Mali, обнаруживая еще пять уязвимостей, которые могли бы позволить злоумышленнику обходить модель разрешения Android и взять под контроль систему.

Некоторые из этих вопросов были якобы доступны для продажи на хакерских форумах, что делает их особенно важными для исправления. Project Zero сообщил о проблемах ARM, которые следовали за исправлениями исходного кода для реализации поставщиков. Project Zero ждал еще 30 дней, чтобы раскрыть недостатки, что и в августе и в середине сентября 2022 года. Обычно это будет конец истории, но Project Zero иногда возвращается, чтобы оценить функциональность исправлений. В этом случае команда нашла «патч -разрыв».

Старые уязвимости по нулевым дне остаются невыасованными на Samsung, Google телефоны

Хотя ARM выпустил патчи в течение лета, поставщики не интегрировали их в свои обычные обновления Android. Проблемы затрагивают многочисленные устройства, которые запускают систему на чипе с использованием графического процессора Mali, включая телефоны Android из Samsung, Xiaomi, Oppo и Google. Чипы Snapdragon избавлены, поскольку они используют собственный графический процессор Qualcomm Adreno. Таким образом, телефоны Samsung в Северной Америке безопасны, но те, которые продаются на международном уровне с чипсами Exynos, находятся в опасности.

В прошлые годы это, возможно, не повлияло на Google, но компания переключилась с Qualcomm на пользовательские тензорные чипы для пиксельных телефонов в 2021 году. Tensor использует графический процессор Mali, поэтому команда безопасности Google обнаружила недостатки, которые команда Pixel не смогла добавить к обычным программные обновления. Google не одинок в совершении этой ошибки, но это все еще не очень большой вид. Google теперь говорит, что патчи Мали будут добавлены в пиксельные телефоны «в ближайшие недели». Другие поставщики еще не предложили график.