Старі вразливості з нульовим днем залишаються непридатними на Samsung, телефони Google
Команда Google Project Zero знаходиться на передовій цифровій безпеці, аналізуючи код, звітування про помилки та, як правило, робить Інтернет безпечнішим. Однак не кожна вразливість встановлюється своєчасно. Нещодавній партію серйозних недоліків у GPU Mali, що займався Mali, повідомив про проект нуля та фіксований виробником. Однак постачальники смартфонів ніколи не реалізували патчі, серед них сам Google. Отже, це трохи бентежить.
Історія починається в червні 2022 року, коли дослідник проекту Zero Maddie Stone виступив з презентацією про подвиги нульового дня-відомі вразливості, для яких немає доступного патча. Розмова використовувала вразливість, ідентифіковану як CVE-20121-39793 та Pixel 6 як приклад. Цей недолік дозволило додаткам отримати доступ до сторінок пам'яті, що стосується лише для читання, які можуть просочити персональні дані. Після цього дослідник Джанн Хорн почав уважніше шукати код GPU ARM Mali, знаходячи ще п’ять вразливих місць, які могли б дозволити зловмиснику обхід моделі дозволу Android та взяти під контроль систему.
Деякі з цих питань нібито були доступні для продажу на хакерських форумах, що робить їх особливо важливими для виправлення. Project Zero повідомив про проблеми з ARM, які випливали з патчів вихідного коду для реалізації постачальників. Проект Нуль чекав ще 30 днів, щоб розкрити недоліки, що це робилося в серпні та середині вересня 2022 року. Зазвичай це було б кінцем історії, але проект нуль періодично кружляє, щоб оцінити функціональність виправлень. У цьому випадку команда знайшла «проміжок патчів».
Хоча ARM випустила патчі протягом літа, продавці не інтегрували їх у свої регулярні оновлення Android. Проблеми впливають на численні пристрої, які керують системною мікросхемою, демонструючи GPU Mali, включаючи телефони Android від Samsung, Xiaomi, Oppo та Google. Кіпси Snapdragon пошкоджені, коли вони використовують власний графічний процесор Adreno Qualcomm. Отже, телефони Samsung в Північній Америці безпечні, але ті, що продаються на міжнародному рівні, піддаються ризику.
У минулі роки це, можливо, не вплинуло на Google, але компанія перейшла з Qualcomm на спеціальні тензорні мікросхеми для Pixel телефонів у 2021 році. Tensor використовує GPU Mali, тому команда безпеки Google виявила недоліки, яких команда Pixel не змогла додати до звичайного оновлення програмного забезпечення. Google не самотній у тому, щоб зробити цю помилку, але це все ще не чудовий вигляд. Тепер Google каже, що патчі Mali будуть додані до Pixel Phones "в найближчі тижні". Інші продавці ще не запропонували графік.