O Projeto Zero do Google desta semana destacou a “lacuna” na distribuição de patches de segurança para os usuários afetados e, ao fazê-lo, também revelou que milhões de telefones Android correm o risco de uma vulnerabilidade de segurança ativa.
O problema específico que o Project Zero do Google está destacando esta semana é uma vulnerabilidade de segurança conhecida como CVE-2022-33917. É uma vulnerabilidade que afeta os dispositivos que usam a GPU Arm’s Mali, o que significa que afeta o Google Pixel, Samsung Galaxy e inúmeros outros smartphones Android.
Se explorado, permitiria a um invasor “ler e gravar páginas físicas depois de serem devolvidas ao sistema”, obtendo potencialmente “ampla acesso” aos dados de um usuário.
A Arm aparentemente corrigiu esses problemas para suas GPUs do Mali há algum tempo, depois que foram descobertos pela primeira vez em junho e julho. Mas, vários meses depois, o Project Zero descobriu que muitos dispositivos Android da Samsung, Oppo, Xiaomi e até mesmo da própria linha Pixel do Google ainda não implementaram essas correções, deixando a vulnerabilidade em aberto.
Relatamos esses cinco problemas à ARM quando eles foram descobertos entre junho e julho de 2022. A ARM corrigiu os problemas prontamente em julho e agosto de 2022, divulgando-os como problemas de segurança em sua página de vulnerabilidades do driver Arm Mali ( atribuindo CVE-2022-36449) e publicando a fonte do driver corrigido em seu site público de desenvolvedores.
… descobrimos que todos os nossos dispositivos de teste que usaram o Mali ainda são vulneráveis a esses problemas. CVE-2022-36449 não é mencionado em nenhum boletim de segurança downstream.
Vale ressaltar que isso não se aplica a aparelhos que utilizam chips Qualcomm Snapdragon, pois estes não utilizam a GPU Mali da Arm. No entanto, os dispositivos que usam chips MediaTek, Samsung Exynos e Google Tensor são afetados.
Atualização de 27/11: Em um comunicado das equipes do Android e do Pixel, o Google diz que uma correção para esse exploit está atualmente em teste e será entregue nas “próximas semanas”. O patch também será necessário para parceiros Android.
A correção fornecida pela Arm está atualmente em teste para dispositivos Android e Pixel e será entregue nas próximas semanas. Os parceiros Android OEM serão obrigados a fazer o patch para cumprir os futuros requisitos de SPL.
Mais sobre Android:
A barra inferior do Gmail para Android agora está aparecendo com mais frequência O Voice é um dos primeiros aplicativos a adicionar suporte para o novo seletor de imagens do Android
FTC: usamos links de afiliados automáticos para geração de renda. Mais.
Confira o Techreporter no YouTube para mais novidades: