A equipe do Project Zero no Google divulgou várias vulnerabilidades de segurança de dia zero que afetam milhões de smartphones Android vendidos globalmente. Dispositivos com GPUs Mali da ARM, como aqueles alimentados por processadores Exynos da Samsung, são vulneráveis a essas falhas de segurança. A ARM já corrigiu as falhas, mas os fabricantes de dispositivos ainda não lançaram a correção.
Project Zero do Google revela cinco vulnerabilidades de dia zero
O pesquisador do Project Zero, Jann Horn, descobriu cinco vulnerabilidades exploráveis no driver da GPU ARM Mali entre junho e julho deste ano. Uma das falhas de segurança pode levar à corrupção da memória do kernel, enquanto outra pode divulgar endereços de memória física para o espaço do usuário. Os três restantes levar a uma condição física de uso após a liberação da página.
Essas falhas “permitiriam que um invasor continuasse a ler e gravar páginas físicas depois que elas fossem devolvidas ao sistema”, explica Ian Beer, do Project Zero. “Um invasor com execução de código nativo em um contexto de aplicativo pode obter acesso total ao sistema, ignorando o modelo de permissões do Android e permitindo amplo acesso aos dados do usuário.”
A equipe de segurança do Google relatou prontamente essas falhas à ARM. A empresa de semicondutores também foi rápida em corrigir os problemas. A empresa designada CVE-2022-36449 para as falhas e publicou o fonte do patch no site do desenvolvedor. Para dar aos OEMs tempo para implantar o patch nos dispositivos afetados, o Google não divulgou publicamente as vulnerabilidades. Após 30 dias de espera, publicou as vulnerabilidades no rastreador público do Project Zero entre o final de agosto e meados de setembro.
Infelizmente, mesmo depois de quase quatro meses de ARM lançando o patch, nenhum fabricante do Android o semeou em seus dispositivos afetados. O Project Zero relata que o CVE-2022-36449 não aparece em nenhum boletim de segurança downstream na terça-feira, 22 de novembro. Os pesquisadores pedem às empresas que permaneçam vigilantes e acompanhem de perto as fontes upstream para fornecer patches aos usuários o mais rápido possível. “Minimizar a lacuna de patch como fornecedor nesses cenários é indiscutivelmente mais importante”, escreve Beer.
O Google ainda está testando o patch do ARM
O Google diz que está testando o patch do ARM e planeja lançá-lo em breve, possivelmente com a atualização de segurança do Android de dezembro. Será obrigatório para todos os parceiros OEM. “A correção fornecida pelo ARM está atualmente em teste para dispositivos Android e Pixel e será entregue nas próximas semanas”, disse um porta-voz do Google ao Engadget. “Os parceiros Android OEM serão obrigados a fazer o patch para cumprir os futuros requisitos SPL”. Vamos ficar de olho nisso e avisaremos quando tivermos mais informações.