Project Zero, equipe do Google dedicada a investigar e encontrar falhas de segurança, publicou várias vulnerabilidades que afetam o Android em smartphones que usam aceleradores gráficos Mali, que estão presentes, por exemplo , em modelos SoC Exynos. O Project Zero costuma dar um período de carência antes de tornar suas descobertas públicas, mas neste caso a situação parece ser mais bizarra do que o normal.
Os aceleradores gráficos do Mali são criados pela própria ARM Holdings, criadora empresa e matriz de arquitetura de processadores. A ARM fez sua parte nos meses de julho e agosto quando se tratou de corrigir as vulnerabilidades, mas fabricantes de smartphones como Samsung, Xiaomi, Oppo e até o próprio Google (sim, essa reclamação vem de dentro) não fizeram o mesmo. , e aparentemente o Project Zero os deu até o início desta semana.
Pesquisadores descobriram cinco novas falhas de segurança em junho e julho que apontavam diretamente para a ARM como responsável por ter que corrigi-las. E a verdade é que estes bugs são bastante graves, já que um leva a problemas como corrupção de memória do kernel, outro que os endereços da memória física foram revelados ao espaço do usuário e os três restantes são do tipo para usar depois de liberar o físico página na memória.
Usar depois As falhas livres permitem que um invasor continue lendo e gravando páginas físicas depois que elas foram devolvidas ao sistema, e não apenas isso, mas também forçando o kernel a reutilizar essas páginas. páginas como tabelas de páginas, um invasor pode até obter acesso total ao sistema, ignorando os mecanismos de permissões do Android e obtendo amplo acesso aos dados do usuário.
Três meses depois que a ARM corrigiu as falhas de segurança, a equipe do Project Zero descobriu que todos os seus dispositivos de teste ainda estavam vulneráveis. Na terça-feira, os problemas não foram mencionados em nenhum boletim de segurança subsequente dos fabricantes de smartphones Android, portanto, presume-se que eles permaneçam abertos a possíveis ataques com consequências catastróficas.
A partir do momento parece que Samsung, Google, Oppo e Xiaomi (e possivelmente muitos mais) não publicaram a atualização de segurança correspondente para corrigir as vulnerabilidades que afetam o driver usado pelo Android para aceleradores gráficos Mali. Infelizmente, aqui nos encontramos com o cenário usual, ou seja, os smartphones Android, em geral, tendem a ser mal mantidos pelas empresas responsáveis, com patches de segurança que são entregues com atraso e tempos de suporte ridículos.