Старые уязвимости по нулевым дне остаются невыасованными на Samsung, Google телефоны
Команда Google Project Zero находится на переднем крае цифровой безопасности, анализирует код, отчетность об ошибках и, как правило, делает интернет более безопасным. Однако не каждая уязвимость зафиксирована своевременно. Недавняя партия серьезных недостатков в Mali GPU ARM сообщила Project Zero и зафиксирована производителем. Тем не менее, поставщики смартфонов никогда не реализовали патчи, среди которых сам Google. Итак, это немного смущающе.
История начинается в июне 2022 года, когда исследователь Project Zero Maddie Stone выступил с презентацией по подвигам нулевого дня-известных уязвимостей, для которых нет доступного патча. В разговоре использовалась уязвимость, идентифицированная как CVE-2021-39793 и Pixel 6 в качестве примера. Этот недостаток позволил приложениям получить доступ к страницам памяти только для чтения, которые могут утечь личные данные. После этого исследователь Джанн Хорн начал более внимательно изучать код графического процессора Arm Mali, обнаруживая еще пять уязвимостей, которые могли бы позволить злоумышленнику обходить модель разрешения Android и взять под контроль систему.
Некоторые из этих вопросов были якобы доступны для продажи на хакерских форумах, что делает их особенно важными для исправления. Project Zero сообщил о проблемах ARM, которые следовали за исправлениями исходного кода для реализации поставщиков. Project Zero ждал еще 30 дней, чтобы раскрыть недостатки, что и в августе и в середине сентября 2022 года. Обычно это будет конец истории, но Project Zero иногда возвращается, чтобы оценить функциональность исправлений. В этом случае команда нашла «патч -разрыв».
Хотя ARM выпустил патчи в течение лета, поставщики не интегрировали их в свои обычные обновления Android. Проблемы затрагивают многочисленные устройства, которые запускают систему на чипе с использованием графического процессора Mali, включая телефоны Android из Samsung, Xiaomi, Oppo и Google. Чипы Snapdragon избавлены, поскольку они используют собственный графический процессор Qualcomm Adreno. Таким образом, телефоны Samsung в Северной Америке безопасны, но те, которые продаются на международном уровне с чипсами Exynos, находятся в опасности.
В прошлые годы это, возможно, не повлияло на Google, но компания переключилась с Qualcomm на пользовательские тензорные чипы для пиксельных телефонов в 2021 году. Tensor использует графический процессор Mali, поэтому команда безопасности Google обнаружила недостатки, которые команда Pixel не смогла добавить к обычным программные обновления. Google не одинок в совершении этой ошибки, но это все еще не очень большой вид. Google теперь говорит, что патчи Мали будут добавлены в пиксельные телефоны «в ближайшие недели». Другие поставщики еще не предложили график.
Читать далее
Oppo представляет концептуальный телефон с растягивающимся OLED-экраном
Oppo представила концептуальный телефон с «непрерывно регулируемым OLED-дисплеем», который меняет размер в руке, чтобы переключаться между планшетом и телефоном.
Новый процессор Qualcomm Snapdragon 888 будет работать на флагманских телефонах Android в 2021 году
888 оснащен новым процессором, интегрированным 5G и мощным графическим процессором. Это станет самым значительным обновлением флагманской системы на кристалле (SoC) Qualcomm за последние годы.
Samsung считает, что нехватка автомобильных чипов может повлиять на телефоны
Samsung обеспокоен тем, что нехватка микросхем в автомобильной промышленности может отбросить назад и подорвать поставки мобильных SoC. Это полупроводниковый пинбол в 2021 году.
Xiaomi заявляет, что ее новый продукт может заряжать телефон из любой точки комнаты
Технология Mi Air Charge компании якобы может заряжать ваш телефон на расстоянии, даже когда он находится в вашем кармане. По крайней мере, они так утверждают - мы не знаем наверняка, потому что Mi Air Charge - это просто техническая демонстрация прямо сейчас.