O Google divulgou várias falhas de segurança do Android para telefones que possuem GPUs do Mali, como aqueles com Exynos SoCs. A equipe do Project Zero da empresa diz que sinalizou os problemas para a ARM (que projeta as GPUs) no meio do ano.
A ARM resolveu os problemas no final de julho e agosto. No entanto, fabricantes de smartphones, incluindo Samsung, Xiaomi, Oppo e o próprio Google, não haviam implantado patches para corrigir as vulnerabilidades no início desta semana, disse o Project Zero.
Leia mais:
- União Europeia investiga TikTok por coleta de dados abusiva
- WhatsApp desenvolve chat oficial do app
- Novo ransomware rouba contas do Discord
Os pesquisadores identificaram cinco novos problemas em junho e julho e imediatamente os sinalizaram para o ARM. “Um desses problemas levou à corrupção da memória do kernel; um levou à divulgação de endereços de memória física para o espaço do usuário e os três restantes levaram a condição de uso após a liberação da página física”, escreveu Ian Beer, do Project Zero, em post. “Isso permitiria que um invasor continuasse a ler e gravar páginas físicas depois que elas fossem devolvidas ao sistema.”
Beer observou que seria possível para um hacker obter acesso total a um sistema, pois seria capaz de contornar o modelo de permissões no Android e obter “acesso amplo” aos dados de um usuário.
O invasor pode fazer isso forçando o kernel a reutilizar as páginas físicas mencionadas anteriormente como tabelas de páginas.
O Project Zero descobriu que, três meses depois que a ARM corrigiu esses problemas, todos os dispositivos de teste da equipe ainda estavam vulneráveis às falhas.
Na terça-feira (22), os problemas não foram mencionados “em nenhum boletim de segurança downstream” dos fabricantes do Android.
O Engadget entrou em contato com Google, Samsung, Oppo e Xiaomi para perguntar quando eles implementarão as correções em seus dispositivos Android e porque demoraram tanto para fazê-lo. Porém, nenhuma resposta foi obtida.
Como observou o SamMobile, os dispositivos da série Galaxy S22 da Samsung e os aparelhos com Snapdragon da empresa não são afetados por essas vulnerabilidades.
Com informações de Engadget
Imagem destacada: rafapress/Shutterstock
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: