Wat je moet weten
- Het Project Zero-team van Google beschrijft een kritieke beveiligingsfout die van invloed is op een aantal apparaten met een Mali GPU.
- Het probleem zou een hacker volledige controle geven over het systeem van een Android-apparaat, machtigingen omzeilen en toegang krijgen tot gebruikersgegevens.
- Dit probleem treft Google-, Samsung-, Xiaomi- en OPPO-apparaten met een Mali GPU.
Google heeft een kritiek beveiligingslek beschreven voor telefoons met een Mali GPU die nog niet correct is verholpen.
Het Project Zero-team van Google Geplaatst op zijn officiële blog details over wat dit probleem is en waarom het zo belangrijk is dat er onmiddellijk een oplossing voor komt. Het kritieke beveiligingsprobleem, CVE-2022-33917, is van invloed op apparaten die de Mali GPU van ARM bevatten. Het rapport vermeldt dat gebruikers van apparaten van Google, Samsung, Xiaomi en OPPO met een Mali GPU het risico lopen op dit kritieke niet-gepatchte beveiligingslek.
Onderzoekers vonden tussen juni en juli vijf afzonderlijke problemen, waarvan er één handelde over 'kernelcorruptie'. Een ander probleem, zoals Project Zero meldt, zou zijn ertoe leiden dat "fysieke geheugenadressen worden vrijgegeven aan de gebruikersruimte." De overige drie nummers van de vijf zouden "leiden tot een gebruiksvrije fysieke pagina voorwaarde."
Simpel gezegd, Project Zero maakt duidelijk dat deze problemen een aanval volledige toegang tot een telefoonsysteem en het machtigingssysteem van het Android-apparaat omzeilen, zodat ze vervolgens toegang hebben tot een bredere gebruiker gegevens.
Project Zero legt uit dat deze problemen ter sprake zijn gebracht ARM en het bracht in juli en augustus vrij snel een patch uit om dit cruciale probleem aan te pakken. Toen er echter aanvullende tests werden uitgevoerd om de effectiviteit van de patch te bepalen, bleek dat dit beveiligingsprobleem nog steeds aanhoudt, zelfs met de veronderstelde fixes.
Google hoopt de "patchkloof" met bedrijven te verkleinen om problemen te vinden en aan te pakken. Het eindresultaat zou zijn dat bedrijven de juiste patches maken en deze sneller naar de betrokken gebruikers sturen, waardoor kritieke problemen zoals het huidige worden opgelost.
Dat heeft een Google-woordvoerder laten weten verloofd over de volgende stappen om de problemen aan te pakken door te zeggen: "De oplossing van ARM wordt momenteel getest voor Android- en Pixel-apparaten en zal in de komende weken worden geleverd. Android OEM-partners zullen de patch moeten gebruiken om te voldoen aan toekomstige SPL-vereisten."
Android Central heeft contact opgenomen met Samsung over wanneer het de problemen zal oplossen, maar heeft niet op tijd bericht ontvangen voor publicatie.