Google предупреждава: „дупка в корекция“ в Android прави тези смартфони уязвими за атаки

Снимка: MS_studio/Shutterstock

Много смартфони с Android са уязвими към няколко изключително сериозни проблема със сигурността, докладвани от Google Project Zero през лятото, но все още не са коригирани, въпреки че Arm пусна корекции за тях.

Телефоните с Android с графични процесори Arm Mali са засегнати от непоправения недостатък. Както посочва изследователят на GPZ Иън Биър, дори телефоните Pixel на Google са уязвими, както и телефоните на Samsung, Xiaomi, Oppo и други.

Beer призовава всички доставчици на смартфони с Android да направят точно това, което потребителите са казвали през цялото време, и да поправят устройствата си възможно най-скоро. Понастоящем самите потребители на смартфони не могат да приложат корекция за GPU драйвера на Arm Mali, въпреки че Arm пусна корекции за тях преди месеци, тъй като нито един доставчик на смартфони с Android не е приложил корекциите към техните версии на Android.

Като бира Бележки в блогНаучният сътрудник на GPZ Jann Horn е открил пет експлоатируеми уязвимости в драйвер за GPU Mali, които се проследяват от GPZ като проблеми. 2325И на 2327И на 2331И на 2333И на 2334. Те бяха докладвани на Arm през юни и юли 2022 г.

също: Най-добрите 5G телефони: кой флагман излиза на първо място?

Arm ги поправи през юли и август и им присвои идентификатора на уязвимостта CVE-2022-36449разкри в Пропуски в сигурността на двигателите на финансовата ръка страница и публикуван Източникът на коригирания драйвер е на публичния уебсайт на разработчика. Друга коригирана грешка на Mali GPU Arm се проследява като CVE-2022-33917. Биърс посочва и двете грешки в доклада си за „пропуск в корекцията“ от доставчиците на телефони с Android.

И така, в продължение на месеци доставчиците разполагат с наличната информация, за да ги заправят, но при скорошна проверка от GPZ нито една от големите марки Android не е пуснала корекция за тях.

В съответствие със собствените си политики, GPZ също премахна забраната за публичен достъп до своите пет доклада, което означава, че всеки, който иска, вече може да получи по-голямата част от информацията, от която се нуждае, за да създаде експлойти за грешката, която засяга повечето съвременни телефони с Android.

За щастие екипът на Google Pixel и екипът на Android изглежда работят по проблема. От тази седмица екипът на Android разговаря с производителите на смартфони с Android (OEM) и ще ги накара да закърпят дупки в сигурността за съответствие с Android OEM. Правила за ниво на корекция на сигурността (SPL).. Но екипът на Pixel няма да има корекции за няколко седмици. Други OEM производители на Android в крайна сметка ще последват примера.

Актуализиране от Android и Pixel, Написа Изследователят на GPZ Тим Уилис във вторник докладва всичките пет грешки.

Пише Уилямс, цитирайки вътрешен човек от екипите на Android и Pixel.

За бирата това е напомняне, че продавачите трябва да правят това, което се казва на потребителите.

„Точно както потребителите се съветват да правят корекции възможно най-скоро, веднага щом стане налична версия, съдържаща актуализации за сигурност, същото важи и за доставчиците и компаниите“, пише Биър.

Може да се каже, че „намаляването на празнината на корекцията“ като ресурс в тези сценарии е още по-важно, тъй като крайните потребители (или в крайна сметка други доставчици) блокират това действие, преди да могат да получат предимствата за сигурността на корекцията.

„Компаниите трябва да останат бдителни, да следват отблизо първичните източници и да направят всичко възможно, за да предоставят пълни корекции на потребителите възможно най-скоро.“