Que souhaitez-vous savoir
- L'équipe Project Zero de Google détaille une faille de sécurité critique affectant un certain nombre d'appareils contenant un GPU malien.
- Le problème permettrait à un pirate de contrôler complètement le système d'un appareil Android, en contournant les autorisations et en accédant aux données de l'utilisateur.
- Ce problème affecte les appareils Google, Samsung, Xiaomi et OPPO contenant un GPU Mali.
Google a détaillé une faille de sécurité critique pour les téléphones contenant un GPU malien qui n'a pas encore été correctement corrigée.
L'équipe Project Zero de Google posté sur son blog officiel des détails sur ce qu'est ce problème et pourquoi il est si important qu'un correctif soit publié immédiatement. Le problème critique de sécurité, CVE-2022-33917, affecte les appareils contenant le GPU Mali d'ARM. Le rapport répertorie les utilisateurs d'appareils de Google, Samsung, Xiaomi et OPPO avec un GPU malien qui sont exposés à cette faille de sécurité critique non corrigée.
Les chercheurs ont trouvé cinq problèmes distincts entre juin et juillet, dont un qui traitait de la "corruption du noyau". Un autre problème, comme l'informe Project Zero, serait conduisent à "la divulgation d'adresses de mémoire physique dans l'espace utilisateur". Les trois problèmes restants sur les cinq "conduiraient à une page physique à utilisation après libération condition."
En termes simples, Project Zero indique clairement que ces problèmes permettraient à une attaque d'accéder complètement à un système du téléphone et contourner le système d'autorisations de l'appareil Android afin qu'ils puissent ensuite accéder à un utilisateur plus large données.
Project Zero explique que ces problèmes ont été soulevés avec BRAS et il a publié un correctif assez rapidement en juillet et août pour résoudre ce problème crucial. Cependant, comme des tests supplémentaires ont été effectués pour déterminer l'efficacité du correctif, il a été constaté que ce problème de sécurité persiste même avec les correctifs supposés.
Google espère réduire "l'écart de correctifs" avec les entreprises pour trouver et résoudre les problèmes. Le résultat final serait que les entreprises créent les correctifs appropriés et les envoient plus rapidement aux utilisateurs concernés, résolvant ainsi tous les problèmes critiques tels que celui actuellement rencontré.
Un porte-parole de Google a informé Engadget sur ses prochaines étapes pour résoudre les problèmes en déclarant: "Le correctif fourni par ARM est actuellement en cours de test pour les appareils Android et Pixel et sera livré dans les prochaines semaines. Les partenaires OEM d'Android devront adopter le correctif pour se conformer aux futures exigences SPL."
Android Central a contacté Samsung pour savoir quand il réglera les problèmes, mais n'a pas reçu de réponse à temps pour la publication.