Milhões de telefones Samsung equipados com Exynos, ou mais especificamente, chipsets Exynos com GPUs Mali (dos quais existem muitos), estão atualmente vulneráveis ​​a várias falhas de segurança. Uma pode levar à corrupção da memória do kernel, outra à divulgação de endereços de memória física e três outras vulnerabilidades podem levar a uma condição física us-after-free da página.

Em essência, essas vulnerabilidades podem permitir que um invasor continuar a ler e gravar páginas físicas depois que elas forem devolvidas ao sistema. Em outras palavras, um invasor com execução de código nativo em um aplicativo pode obter acesso total ao sistema e ignorar o modelo de permissão no sistema operacional Android. (via Google Project Zero)

A ARM corrigiu o problema, mas os fabricantes de smartphones não

Essas falhas de segurança descobertas pelo Project Zero foram trazidas à atenção da ARM em junho e julho. A ARM corrigiu essas falhas de segurança relacionadas ao Mali um mês depois, mas, até o momento, nenhum fornecedor de smartphone aplicou patches de segurança para resolver essas vulnerabilidades.

A GPU Mali da ARM pode ser encontrada em smartphones de diferentes marcas, incluindo Samsung, Xiaomi e Oppo. Na verdade, a exploração foi originalmente descoberta quando visava o Pixel 6. O Google também não corrigiu essa vulnerabilidade, apesar dos esforços do Project Zero para trazer o problema à tona.

Esta vulnerabilidade não diz respeito a dispositivos Samsung equipados com Snapdragon ou a série Galaxy S22. Sim, este último tem um chipset Exynos em alguns mercados, mas usa um chip gráfico Xclipse 920 em vez de uma GPU Mali.

Categories: IT Info