מה שאתה צריך לדעת
- צוות Project Zero של גוגל מפרט ליקוי אבטחה קריטי המשפיע על מספר מכשירים המכילים GPU Mali.
- הבעיה תאפשר להאקר שליטה מלאה על המערכת של מכשיר אנדרואיד, עקיפת הרשאות וגישה לנתוני משתמש.
- בעיה זו משפיעה על מכשירי גוגל, סמסונג, שיאומי ו-OPPO המכילים GPU Mali.
גוגל פירטה ליקוי אבטחה קריטי עבור טלפונים המכילים GPU Mali שטרם טופל כראוי.
צוות Project Zero של גוגל פורסם בבלוג הרשמי שלו פרטים על מהי הנושא הזה ולמה זה כל כך חשוב שתיקון עבורו ייצא מיד. נושא האבטחה הקריטי, CVE-2022-33917, משפיע על מכשירים המכילים את ה-Mali GPU של ARM. הדוח מפרט שמשתמשים במכשירים מגוגל, סמסונג, שיאומי ו-OPPO עם GPU מאלי נמצאים בסיכון לליקוי אבטחה קריטי זה שטרם תוקן.
חוקרים מצאו חמישה נושאים נפרדים בין יוני ליולי עם אחד שעסק ב"שחיתות הליבה". נושא אחר, כפי שמודיע פרויקט אפס, היה להוביל לכך ש"כתובות זיכרון פיזי נחשפות למרחב המשתמש." שלושת הגליונות הנותרים של החמישה "יובילו לשימוש בדף פיזי לאחר-ללא תשלום מַצָב."
במילים פשוטות, Project Zero מבהיר שבעיות אלו יאפשרו למתקפה גישה מלאה ל-a מערכת הטלפון ולעקוף את מערכת ההרשאות של מכשיר האנדרואיד כדי שיוכלו לגשת למשתמש רחב יותר נתונים.
פרויקט אפס מסביר שהנושאים הללו הועלו זְרוֹעַ והוא אכן שחרר תיקון די מהר במהלך יולי ואוגוסט כדי לטפל בבעיה המכריעה הזו. עם זאת, כאשר נערכו בדיקות נוספות כדי לקבוע את יעילות התיקון, נמצא שבעיית אבטחה זו עדיין נמשכת גם עם התיקונים כביכול.
גוגל מקווה לצמצם את "פער התיקון" עם חברות כדי למצוא ולטפל בבעיות. התוצאה הסופית תהיה שחברות ייצרו את התיקונים המתאימים וישלחו אותם למשתמשים המושפעים מהר יותר, ויפתרו בעיות קריטיות כמו זו שעומדת בפניה כעת.
דובר גוגל הודיע Engadget לגבי הצעדים הבאים שלה לטפל בבעיות, תוך ציון, "התיקון שסיפק ARM עובר כעת בדיקות עבור מכשירי אנדרואיד ופיקסל ויימסר בשבועות הקרובים. שותפי OEM של Android יידרשו לקחת את התיקון כדי לעמוד בדרישות SPL עתידיות."
אנדרואיד סנטרל יצרה קשר עם סמסונג לגבי מתי היא תטפל בבעיות, אך לא קיבלה הודעה בזמן לפרסום.