Febbraio 2, 2023

Lamezia in strada

Trova tutti gli ultimi articoli e guarda programmi TV, servizi e podcast relativi all'Italia

I produttori di smartphone Android mostrano una mancanza di preoccupazione per le vulnerabilità

Project Zero, il team di Google dedicato a indagare e trovare vulnerabilità di sicurezza, è stato pubblicato molti di Vulnerabilità Android negli smartphone che utilizzano gli acceleratori grafici Mali, che è presente, ad esempio, nei modelli SoC Exynos. Project Zero di solito concede un periodo di grazia prima di annunciare i suoi risultati, ma in questo caso la situazione sembra ancora più strana del solito.

Gli acceleratori grafici Mali sono creati dalla stessa ARM Holdings, il creatore e sviluppatore dell’architettura del processore. ARM ha fatto la sua parte a luglio e agosto quando si è trattato di riparare le falle di sicurezza, ma produttori di smartphone come Samsung, Xiaomi, Oppo e persino ARM stesso Il Google (Sì, quella lamentela viene dall’interno) Non hanno deciso di fare lo stesso, e Project Zero sembra aver dato loro tempo fino all’inizio di questa settimana.

I ricercatori lo hanno scoperto Cinque nuove vulnerabilità di sicurezza a giugno e luglio che indicavano direttamente ARM come responsabile della necessità di risolverle. Il fatto è che tali fallimenti sono molto pericolosi, poiché uno porta a problemi come Corruzione della memoria del kernel, un’altra corruzione Vengono rilevati gli indirizzi di memoria fisica dello spazio utente, i restanti tre sono del tipo che dovrebbe essere utilizzato dopo il rilascio della pagina fisica in memoria.

Questo difetto post-utilizzo non solo consente a un utente malintenzionato di continuare a leggere e scrivere pagine fisiche dopo che sono state restituite al sistema, ma costringe il kernel a riutilizzare tali pagine come tabelle di pagine, Un utente malintenzionato può persino ottenere l’accesso completo al sistemaAggira i meccanismi di autorizzazione di Android e ottieni un ampio accesso ai dati degli utenti.

READ  È così che il robot è in grado di sciogliersi, sfuggire alla gabbia e ricomporsi

Tre mesi dopo che ARM ha risolto il difetto di sicurezza, il team di Project Zero ha scoperto che tutto il proprio hardware sperimentale era ancora vulnerabile. A partire da martedì, i problemi non sono stati menzionati in nessun successivo bollettino sulla sicurezza dei produttori di smartphone Android, quindi presumibilmente rimangono vulnerabili ad attacchi potenzialmente catastrofici.

Al momento sembra Samsung, Google, Oppo e Xiaomi (e forse di più) non ha rilasciato un aggiornamento di sicurezza corrispondente per correggere le vulnerabilità che interessano il driver utilizzato da Android per gli acceleratori grafici del Mali. Purtroppo ci troviamo qui con lo scenario tipico, ovvero che gli smartphone Android, in generale, tendono ad essere mal gestiti da aziende responsabili, con patch di sicurezza consegnate in ritardo e tempi di supporto ridicoli.