更新: Samsung は、この問題に関する声明を発表しました:
「Samsung は自社製品のセキュリティを非常に真剣に受け止めています。 2022 年 12 月に Samsung Internet アプリのパッチを発行することで、これらの潜在的なエクスプロイト チェーンを防止するために必要な措置をすでに講じています。Samsung Internet アプリの 12 月の更新により、残りの脆弱性のエントリ ポイントが無効になり、デバイスが確実に保護されます。
パートナーと積極的に協力して、残りの脆弱性に対するパッチを 4 月からできるだけ早くリリースし、可能な限り最高レベルの保護を確保するために、すべてのユーザーが最新のソフトウェアでデバイスを更新し続けることをお勧めします。」
Google の脅威分析グループ(TAG) は、Samsung が 1 年以上にわたってパッチを適用せずに、Galaxy デバイスに重大なゼロデイ セキュリティ脆弱性を保持していたことを明らかにしました。この欠陥は、世界中の何百万もの Galaxy デバイスに電力を供給している Samsung の Exynos プロセッサで見つかった ARM の Mali GPU に存在します。 ARM は 2022 年 1 月号でパッチをリリースしましたが、韓国の会社はまだセキュリティ リリースにそれを含めていません。
この問題は Common Vulnerabilities and Exposures (CVE) 番号 CVE-2022 で特定されています。-22706 は、Mali GPU カーネル ドライバーの脆弱性です。 Google の Project Zero チームのセキュリティ研究者によって発見されたこの欠陥は、世界中の何百万もの Android スマートフォンに影響を与える他の多くの重大なゼロデイ脆弱性とともに、昨年 11 月に公開されました。 ARM が 1 月にパッチをリリースして悪用が実際に行われていることを確認して以来、電話メーカーはダウンストリームで修正を実装するのに約 8 か月かかりました。
開示の時点で、Project Zero の Ian Beer 氏は、Samsung、Google 、Oppo、Xiaomi、およびその他のブランドが危険にさらされています。結局、この脆弱性は、Mali GPU を搭載したほぼすべての Android デバイスに存在していました。水曜日の最新の更新で、TAG は、Samsung がこの脆弱性の修正をまだプッシュしていないことを明らかにしました。脅威アクターがこの欠陥を悪用して、疑うことを知らないユーザーをだまして、Galaxy デバイスの Samsung インターネット ブラウザで悪意のあるリンクをクリックさせようとしているという報告がありますが、それにもかかわらずです。
Samsung は、2022 年 1 月以来、Mali GPU の重大なセキュリティ欠陥にパッチを当てていません
TAG によると、このエクスプロイト チェーンは昨年 12 月に発見されました。 「さまざまなチャットおよびブラウザ アプリケーションからデータを解読およびキャプチャするためのライブラリを含む、C++ で記述されたフル機能の Android スパイウェア スイート」を提供できます。 Samsung が脆弱性にパッチを当てずに放置したため、攻撃者は Samsung Internet を使用して Galaxy ユーザーをだましました。 「この脆弱性により、攻撃者はシステムにアクセスできます」と TAG の Clement Lecigne 説明済み。彼らは、ブラウザ アプリのバージョン 19.0.6 以降はこのエクスプロイトから安全であると付け加えました。
ただし、この脆弱性はシステム レベルでパッチされていないままです。これは基本的に、攻撃者が何百万もの Galaxy デバイスへのシステム アクセスを取得するための新しいエクスプロイトを考え出す可能性があることを意味します。 Galaxy S22 シリーズを除き、Exynos を搭載した他のすべての Galaxy モデルは脆弱です。昨年 Galaxy S22 シリーズに搭載された Exynos 2200 チップセットは、AMD の RDNA 2 ベースの Xclipse 920 GPU を搭載しています。これは、Samsung の重大な見落としです。うまくいけば、会社は遅かれ早かれこの脆弱性に対するパッチを展開するでしょう.この件に関する公式声明が発表された場合はお知らせします。