Google и другие Android-производители не устранили недостатки в системе безопасности — несмотря на то, что обнаружили их еще летом 2022 года
Project Zero — группа специалистов безопасности в Google, занимающаяся поиском уязвимости нулевого дня — предполагают, что миллионы телефонов с графическими процессорами Mali находятся под угрозой эксплойтов, несмотря на то, что несколько месяцев назад ARM предоставила исправление.
Специалисты сообщают о 5 недостатках безопасности для телефонов, имеющих графические процессоры Mali, в том числе Exynos SoC. Project Zero утверждает, что сообщил ARM (компания, разрабатывающая графические процессоры) о недостатках еще летом, которые она решила в июле и августе. Однако производители смартфонов, включая Samsung, Xiaomi, Oppo и сам Google, по состоянию на начало этой недели так и не выпустили патч для устранения уязвимостей.
«Одна из этих проблем привела к повреждению памяти ядра, другая — к тому, что адреса физической памяти были раскрыты в пространстве пользователя, а остальные три — к Use-After-Free физической странице. Это позволит злоумышленникам продолжать читать и писать физические страницы после того, как они будут возвращены в систему», — написал в блоге Ян Бир из Project Zero.
Бир отметил, что хакер может получить полный доступ к системе, обойдя модель разрешений на Android и получить «широкий доступ» к пользовательским данным. И, в частности, заставив ядро повторно использовать вышеупомянутые физические страницы в качестве таблиц страниц.
Project Zero говорит, что через три месяца после того, как ARM устранила эти проблемы, все тестовые устройства все еще уязвимы к недостаткам. По состоянию на вторник уязвимости не упоминались «ни в каких будущих бюллетенях безопасности» от производителей Android.
Google, Samsung, Oppo и Xiaomi пока не прокомментировали, когда будут разворачивать исправления на своих устройствах Android и почему это заняло столько времени. Как отмечает SamMobile, устройства Samsung серии Galaxy S22 и телефоны компании на базе Snapdragon не страдают от этих проблем.
Apple выпустила экстренный патч для iOS и iPadOS 16, устраняющий уязвимость нулевого дня
Источник: Engadget