Google afferma che Google e altri produttori di Android non hanno corretto i difetti di sicurezza

ha rivelato diversi difetti di sicurezza per i telefoni con GPU Mali, come quelli con chipset Exynos. Il team dell’azienda afferma di aver segnalato i problemi a (che produce le GPU) in estate. ARM ha risolto i problemi alla fine di luglio e agosto. Tuttavia, i produttori di smartphone tra cui Samsung, Xiaomi, Oppo e Google stesso non avevano distribuito patch per correggere le vulnerabilità all’inizio di questa settimana, ha affermato Project Zero.

I ricercatori hanno identificato cinque nuovi problemi a giugno e luglio e li hanno prontamente segnalati ad ARM. “Uno di questi problemi ha portato alla corruzione della memoria del kernel, uno ha portato alla divulgazione degli indirizzi di memoria fisica allo spazio utente e gli altri tre hanno portato a una condizione fisica di utilizzo dopo la libertà della pagina”, Ian Beer di Project Zero . “Questi consentirebbero a un utente malintenzionato di continuare a leggere e scrivere pagine fisiche dopo che sono state restituite al sistema”.

Beer ha osservato che sarebbe possibile per un hacker ottenere l’accesso completo a un sistema in quanto sarebbe in grado di aggirare il modello di autorizzazioni su Android e ottenere un “ampio accesso” ai dati di un utente. L’attaccante potrebbe farlo forzando il kernel a riutilizzare le suddette pagine fisiche come tabelle di pagine.

Project Zero ha scoperto che, tre mesi dopo che ARM ha risolto questi problemi, tutti i dispositivi di test del team erano ancora vulnerabili ai difetti. A partire da martedì, i problemi non sono stati menzionati “in nessun bollettino sulla sicurezza a valle” dei produttori di Android.

Engadget ha contattato Google, Samsung, Oppo e Xiaomi per chiedere quando implementeranno le correzioni sui loro dispositivi Android e perché ci è voluto così tanto tempo per farlo. Come note, i dispositivi della serie Galaxy S22 di Samsung e i telefoni basati su Snapdragon dell’azienda non sono interessati da queste vulnerabilità.

Tutti i prodotti consigliati da Engadget sono selezionati dalla nostra redazione, indipendente dalla nostra casa madre. Alcune delle nostre storie includono link di affiliazione. Se acquisti qualcosa tramite uno di questi link, potremmo guadagnare una commissione di affiliazione. Tutti i prezzi sono corretti al momento della pubblicazione.

Leave a Comment