L’anno scorso, a novembre, è stata confermata un’enorme falla di sicurezza della GPU del Mali che colpisce virtualmente milioni di telefoni Samsung con chipset Exynos. Da allora, questa vulnerabilità del Mali è diventata parte di una catena che gli hacker hanno sfruttato con successo per condurre gli ignari utenti Internet di Samsung su siti Web dannosi. E sebbene quella particolare catena di exploit sia stata interrotta, la falla di sicurezza del Mali scoperta lo scorso anno continua a colpire quasi tutti i dispositivi Samsung basati su Exynos, ad eccezione del Galaxy S22 e della sua GPU Xclipse 920.
Gruppo di analisi delle minacce (TAG) ha rivelato la catena di exploit oggi. Nel dicembre 2022, TAG ha scoperto questa catena di exploit che si basa su più vulnerabilità 0-day e n-day e prende di mira i browser Internet Chrome e Samsung.
Più specificamente, due vulnerabilità in questa catena riguardano Chrome. E poiché Samsung Internet Browser utilizza Chromium, l’app è stata utilizzata come vettore di attacco insieme alla vulnerabilità del driver del kernel della GPU Mali segnalata lo scorso anno. Questo exploit del Mali garantisce agli aggressori l’accesso al sistema.
Attraverso questa catena di exploit, gli hacker invierebbero collegamenti una tantum tramite SMS ai dispositivi Samsung Galaxy situati negli Emirati Arabi Uniti (Emirati Arabi Uniti). I collegamenti reindirizzavano gli utenti ignari a una pagina che avrebbe fornito”una suite di spyware Android completa scritta in C++ che include librerie per la decrittazione e l’acquisizione di dati da varie applicazioni di chat e browser”.
La catena è stata spezzata. Ma Samsung continua a ignorare il problema della GPU del Mali
Qual è la situazione attuale? Ebbene, Google ha corretto le due vulnerabilità di Chrome sopra menzionate e ha corretto i propri telefoni Pixel all’inizio del 2023. Samsung ha anche corretto il suo browser Internet Samsung nel dicembre 2022. Il colosso tecnologico coreano ha risolto i due difetti relativi a Chromium (CVE-2022-4262 e CVE-2022-3038) tramite un aggiornamento dell’app del browser Internet dopo la versione 19.0.6.
Samsung ha interrotto la catena di exploit che sfruttava la sua app Internet basata su Chromium e il Mali vulnerabilità del kernel a dicembre e sembra che gli attacchi agli utenti negli Emirati Arabi Uniti siano cessati. Tuttavia, rimane un problema evidente.
La catena di exploit descritta oggi da Google è stata risolta grazie agli aggiornamenti del browser Internet di Samsung a dicembre. Ma un anello della catena, costituito dall’enorme vulnerabilità di sicurezza del Mali (CVE-2022-22706), rimane senza patch sui dispositivi Samsung dotati di chipset Exynos e GPU Mali. Cioè, nonostante il fatto che il Mali abbia già fornito una soluzione per il suo exploit del driver del kernel già nel gennaio 2022.
Fino al Samsung corregge questo problema tramite una patch del firmware di sicurezza contenente la correzione Mali, sembra che la maggior parte dei dispositivi Galaxy dotati di SoC Exynos rimanga vulnerabile all’exploit del driver del kernel della GPU Mali.