گوگل چندین نقص امنیتی را برای گوشی هایی که دارای پردازنده گرافیکی Mali هستند، مانند گوشی هایی که دارای پردازنده های اگزینوس Exynos SoC هستند، فاش کرده است. تیم پروژه صفر Project Zero این شرکت میگوید این مشکلات را در تابستان سال جاری به آرم ARM (که پردازندههای گرافیکی طراحی میکند) اعلام شده است. آرم نیز مشکلات را در ماه های جولای و آگوست برطرف کرده است. به گفته حققان تیم پروژه ی صفر، با این حال، تولیدکنندگان گوشیهای هوشمند از جمله سامسونگ، شیائومی، اوپو و خود گوگل تا اوایل این هفته وصلههایی را برای رفع آسیبپذیریها را منتشر نکرده بودند.
محققان پنج مشکل جدید را در ماه های ژوئن و ژوئیه شناسایی کردند و به سرعت آنها را به آرم اطلاع رسانی کردند. ایان بیر از پروژه صفر در یک پست وبلاگی نوشت: «یکی از این مسائل منجر به خراب شدن حافظه هسته، یکی به افشای آدرسهای حافظه فیزیکی در فضای کاربران و سه مورد دیگر منجر به شرایط استفاده از صفحه فیزیکی پس از آزاد شدن شد. “اینها به مهاجم اجازه می دهد تا به خواندن و نوشتن صفحات فیزیکی پس از بازگرداندن آنها به سیستم ادامه دهد.”
بیر اشاره کرد که این امکان برای یک هکر وجود دارد که به یک سیستم دسترسی کامل داشته باشد زیرا آنها می توانند مدل مجوزها را در اندروید دور بزنند و به داده های کاربر “دسترسی گسترده” پیدا کنند. مهاجم می تواند این کار را با مجبور کردن هسته به استفاده مجدد از صفحات فیزیکی فوق الذکر به عنوان جداول صفحه انجام دهد.
این تیم تحقیقاتی دریافتند که سه ماه پس از رفع این مشکلات آرم، همه دستگاههای آزمایشی تیم همچنان در برابر نقصها آسیبپذیر بودند. از روز سهشنبه، این مسائل «در هیچ بولتن امنیتی پاییندستی» تولیدکنندگان اندروید ذکر نشده بود.
یکی از سخنگویان گوگل به وبسایت انگجت گفت: “تصحیح ارائه شده توسط آرم در حال حاضر در حال آزمایش برای دستگاه های اندروید و پیکسل است و در هفته های آینده ارائه خواهد شد.” شرکای Android OEM ملزم به دریافت وصله برای مطابقت با الزامات SPL آینده خواهند بود. انگجت با سامسونگ، اوپو و شیائومی تماس گرفته است تا از آنها بپرسد که چه زمانی این اصلاحات را بر روی دستگاههای اندرویدی خود اجرا میکنند و چرا این کار طولانی شده است.
همانطور که سامسونگ موبایل اشاره می کند، دستگاه های سری گلکسی S22 سامسونگ و گوشی های مجهز به اسنپدراگون این شرکت تحت تأثیر این آسیب پذیری ها قرار نمی گیرند.
منبع engadget