Google та інші Android-виробники не усунули недоліки в системі безпеки — попри те, що виявили їх ще літом 2022 року

Project Zero — група фахівців безпеки в Google, яка займається пошуком вразливості нульового дня — припускають, що мільйони телефонів із графічними процесорами Mali знаходяться під загрозою експлойтів, попри те, що кілька місяців тому ARM надала виправлення.

Фахівці повідомляють про 5 недоліків безпеки для телефонів, що мають графічні процесори Mali, зокрема Exynos SoC. Project Zero стверджує, що повідомила ARM (компанія, яка розробляє графічні процесори) про недоліки ще влітку, які та вирішила в липні та серпні. Однак виробники смартфонів, включаючи Samsung, Xiaomi, Oppo та сам Google, станом на початок цього тижня так і не випустили патч для усунення вразливостей.

“Одна з цих проблем призвела до пошкодження пам’яті ядра, інша — до того, що адреси фізичної пам’яті були розкриті в просторі користувача, а решта три — до Use-After-Free фізичної сторінки. Це дозволить зловмисникам продовжувати читати та писати фізичні сторінки після того, як вони будуть повернуті в систему”, — написав у блозі Ян Бір з Project Zero.

Бір зазначив, що хакер може отримати повний доступ до системи, обійшовши модель дозволів на Android і отримати “широкий доступ” до даних користувача. І, зокрема, змусивши ядро ​​повторно використовувати вищезгадані фізичні сторінки як таблиці сторінок.

Project Zero каже, що через три місяці після того, як ARM розв’язала ці проблеми, усі тестові пристрої все ще вразливі до недоліків. Станом на вівторок вразливості не згадувалися “в жодних майбутніх бюлетенях безпеки” від виробників Android.

Google, Samsung, Oppo та Xiaomi поки не прокоментували, коли розгортатимуть виправлення на своїх пристроях Android і чому це зайняло стільки часу. Як зазначає SamMobile, пристрої Samsung серії Galaxy S22 і телефони компанії на базі Snapdragon не страждають від цих проблем.

Джерело: Engadget

Disqus Comments Loading...