De Threat Analysis Group (TAG) van Google heeft onthuld dat Samsung een groot zero-day beveiligingslek in Galaxy-apparaten al meer dan een jaar ongepatcht heeft. De fout zit in de Mali GPU van ARM, gevonden in de Exynos-processors van Samsung die wereldwijd miljoenen Galaxy-apparaten aandrijven. ARM heeft een patch uitgebracht voor de uitgave van januari 2022, maar het Koreaanse bedrijf heeft deze nog niet opgenomen in zijn beveiligingsreleases.
Het genoemde probleem, geïdentificeerd door het Common Vulnerabilities and Exposures (CVE)-nummer CVE-2022-22706, is een kwetsbaarheid in de Mali GPU Kernel Driver. Ontdekt door beveiligingsonderzoekers van het Project Zero-team van Google, werd de fout in november vorig jaar openbaar gemaakt, samen met vele andere kritieke zero-day-kwetsbaarheden die miljoenen Android-smartphones wereldwijd treffen. Sinds ARM de patch in januari uitbracht en de exploitatie ervan in het wild bevestigde, hadden telefoonfabrikanten ongeveer acht maanden de tijd om de fix downstream te implementeren.
Op het moment van bekendmaking zei Ian Beer van Project Zero dat apparaten van Samsung, Google , Oppo, Xiaomi en meer merken lopen gevaar. De kwetsbaarheid bestond immers in vrijwel elk Android-apparaat met een Mali GPU. In een nieuwe update woensdag onthulde de TAG dat Samsung nog geen oplossing voor dit beveiligingslek heeft gepusht. Dat ondanks meldingen van kwaadwillenden die de fout misbruiken om nietsvermoedende gebruikers te misleiden zodat ze op kwaadaardige links in de Samsung-internetbrowser op Galaxy-apparaten klikken.
Samsung heeft sinds januari 2022 een grote Mali GPU-beveiligingsfout ongepatcht.
Volgens de TAG, werd deze exploit chain vorig jaar december ontdekt. Het zou”een volledig uitgeruste Android-spywaresuite kunnen opleveren, geschreven in C++, met bibliotheken voor het decoderen en vastleggen van gegevens van verschillende chat-en browsertoepassingen”. Terwijl Samsung de kwetsbaarheid ongepatcht liet, gebruikten bedreigingsactoren Samsung Internet om Galaxy-gebruikers te misleiden.”Deze kwetsbaarheid verleent de aanvaller systeemtoegang”, Clement Lecigne van de TAG uitgelegd. Ze voegden eraan toe dat versie 19.0.6 of nieuwer van de browser-app veilig is voor deze exploit.
De fout blijft echter ongepatcht op systeemniveau. Dat betekent in wezen dat bedreigingsactoren nieuwe exploits kunnen bedenken om systeemtoegang te krijgen tot miljoenen Galaxy-apparaten. Behalve de Galaxy S22-serie is elk ander door Exynos aangedreven Galaxy-model kwetsbaar. De Exynos 2200-chipset die vorig jaar de Galaxy S22-serie aandreef, is voorzien van AMD’s RDNA 2-gebaseerde Xclipse 920 GPU. Dit is een enorme vergissing van Samsung. Hopelijk rolt het bedrijf zo snel mogelijk een patch uit voor deze kwetsbaarheid. We laten het u weten als er een officiële verklaring over deze kwestie wordt vrijgegeven.