Google ha reso note diverse falle di sicurezza per i telefoni dotati di GPU Mali, come quelli con chipset Exynos. Il team Project Zero dell’azienda afferma di aver segnalato i problemi ad ARM (che produce le GPU) già in estate. ARM ha risolto i problemi a luglio e agosto. Tuttavia, all’inizio di questa settimana i produttori di smartphone, tra cui Samsung, Xiaomi, Oppo e la stessa Google, non avevano ancora distribuito le patch per risolvere le vulnerabilità, secondo Project Zero.
I ricercatori hanno identificato cinque nuovi problemi a giugno e luglio e li hanno prontamente segnalati ad ARM. “Uno di questi problemi ha portato alla corruzione della memoria del kernel, uno ha portato alla divulgazione di indirizzi di memoria fisica allo spazio utente e i restanti tre hanno portato a una condizione di use-after-free (UAF) della pagina fisica”, ha scritto Ian Beer di Project Zero in un post sul blog. “Queste condizioni consentirebbero a un malintenzionato di continuare a leggere e scrivere pagine fisiche dopo che sono state restituite al sistema”.
Beer ha osservato che sarebbe possibile per un hacker ottenere l’accesso completo a un sistema, in quanto sarebbe in grado di aggirare il modello di autorizzazioni di Android e ottenere un “ampio accesso” ai dati di un utente. Il cybercriminale potrebbe farlo forzando il kernel a riutilizzare le suddette pagine fisiche come tabelle di pagine.
Project Zero ha scoperto che, tre mesi dopo che ARM ha risolto questi problemi, tutti i dispositivi di prova del team erano ancora vulnerabili alle falle. A partire da martedì, i problemi non sono stati menzionati “in nessun bollettino di sicurezza” dai produttori di Android. Inoltre come osserva SamMobile, i dispositivi della serie Galaxy S22 di Samsung e i telefoni dell’azienda dotati di Snapdragon non sono interessati da queste vulnerabilità.
