
Google , Exynos SoC’ler gibi Mali GPU’lara sahip telefonlar için çeşitli güvenlik kusurlarını açıkladı. Şirketin Project Zero ekibi, sorunları yaz aylarında ARM’ye(GPU’ları tasarlayan) işaretlediğini söylüyor. ARM, sorunları Temmuz ve Ağustos aylarında kendi sonunda çözdü. Ancak Project Zero, Samsung, Xiaomi, Oppo ve Google’ın da dahil olduğu akıllı telefon üreticilerinin bu hafta başlarında güvenlik açıklarını düzeltmek için yamalar uygulamadıklarını söyledi.
Araştırmacılar, Haziran ve Temmuz aylarında beş yeni sorun belirlediler ve bunları hemen ARM’ye bildirdiler. Project Zero’dan Ian Beer bir blog gönderisinde “Bu sorunlardan biri çekirdek belleğinin bozulmasına, biri fiziksel bellek adreslerinin kullanıcı alanına ifşa edilmesine ve geri kalan üçü de fiziksel sayfanın boşta kullanım durumuna yol açmasına yol açtı” diye yazdı . “Bunlar, bir saldırganın fiziksel sayfaları sisteme iade edildikten sonra okumaya ve yazmaya devam etmesini sağlar.”
Beer, bir bilgisayar korsanının bir sisteme tam erişim elde etmesinin, Android’deki izin modelini atlayabilecekleri ve bir kullanıcının verilerine “geniş erişim” elde edebilecekleri için mümkün olacağını belirtti. Saldırgan bunu, çekirdeği yukarıda belirtilen fiziksel sayfaları sayfa tabloları olarak yeniden kullanmaya zorlayarak yapabilir.
Project Zero, ARM’in bu sorunları düzeltmesinden üç ay sonra, ekibin tüm test cihazlarının hala kusurlara karşı savunmasız olduğunu buldu. Salı günü itibariyle, Android üreticilerinin “aşağı akış güvenlik bültenlerinde” sorunlardan bahsedilmedi.
Engadget, düzeltmeleri Android cihazlarına ne zaman uygulayacaklarını ve bunu yapmalarının neden bu kadar uzun sürdüğünü sormak için Google, Samsung, Oppo ve Xiaomi ile iletişime geçti. SamMobile’ın belirttiği gibi , Samsung’un Galaxy S22 serisi cihazları ve şirketin Snapdragon destekli telefonları bu güvenlik açıklarından etkilenmez.