Google ha dicho que varias fallas de seguridad para teléfonos que tienen GPU Mali, como aquellos con SoC Exynos. El equipo de Project Zero de la compañía dice que señaló los problemas a ARM (que diseña las GPU) en el verano. ARM resolvió los problemas en su final en julio y agosto. Sin embargo, los fabricantes de teléfonos inteligentes, incluidos Samsung, Xiaomi, Oppo y Google, no habían implementado parches para corregir las vulnerabilidades a principios de esta semana, dijo Project Zero.
Los investigadores identificaron cinco nuevos problemas en junio y julio y los marcaron rápidamente a ARM. “Uno de estos problemas condujo a la corrupción de la memoria del kernel, uno llevó a que las direcciones de memoria física se divulgaran al espacio de usuario y los tres restantes llevaron a una condición física de uso después de la liberación de la página”, escribió Ian Beer de Project Zero en una publicación de blog. “Esto permitiría a un atacante continuar leyendo y escribiendo páginas físicas después de que hayan sido devueltas al sistema”.
Beer señaló que sería posible que un hacker obtuviera acceso completo a un sistema, ya que podría omitir el modelo de permisos en Android y obtener un “amplio acceso” a los datos de un usuario. El atacante podría hacerlo forzando al kernel a reutilizar las páginas físicas mencionadas anteriormente como tablas de páginas.
Project Zero descubrió que, tres meses después de que ARM solucionara estos problemas, todos los dispositivos de prueba del equipo seguían siendo vulnerables a las fallas. Hasta el martes, los problemas no se mencionaron “en ningún boletín de seguridad posterior” de los fabricantes de Android.
Engadget se ha puesto en contacto con Google, Samsung, Oppo y Xiaomi para preguntar cuándo implementarán las correcciones en sus dispositivos Android y por qué les ha llevado tanto tiempo hacerlo. Como señala Sam Mobile, los dispositivos de la serie Galaxy S22 de Samsung y los teléfonos con Snapdragon de la compañía no se ven afectados por estas vulnerabilidades.
