چند روز پیش گوگل یک نقص امنیتی جدید در گوشیهایی که از پردازندههای گرافیکی ARM Mali استفاده میکنند، پیدا کرد.
به گزارش تکناک، در اصل، تیم Project Zero گوگل یک نقص جدی مرتبط با Kernel را در همه گوشیهای هوشمند، از جمله گوشی های که از چیپست MediaTek و Exynos که از GPU Mali استفاده میکنند، کشف کردند.
ظاهراً سازنده پردازندههای گرافیکی، ARM، از این مشکل مطلع شده و نقص امنیتی متعاقباً اصلاح شده است. با این حال، هیچ یک از OEM های اندرویدی دیگر، از جمله خود گوگل، هنوز هیچ راه حل امنیتی برای این مشکل منتشر نکرده است.
در تحقیقات تیم Project Zero حدود پنج نقص مختلف کشف شد که آنها این نقض ها را به ARM گزارش کردند. ایان بیر از Project Zero در یک پست وبلاگی عنوان کرد که یکی از این نقص ها منجر به تخریب حافظه Kernel و یکی به درز آدرس های حافظه فیزیکی به فضای کاربران می شود و سه مورد باقی مانده منجر به یک وضعیت physical page use-after-free می شود. اینها به مهاجم توانایی خواندن و نوشتن صفحات فیزیکی را حتی پس از دریافت مجدد سیستم می دهد.
سه ماه پس از اینکه ARM این نقص امنیتی را در پردازندههای گرافیکی Mali اصلاح کرد، Project Zero متوجه شد که تمام دستگاههای آزمایشی تیم هنوز در معرض نقص هستند. تا روز سهشنبه، هیچ «بولتن امنیتی » از سازندگان اندروید این مشکلات را تایید نکرده بود. بیر اشاره کرد که اگر یک هکر بتواند خط مجوزهای Policy اندروید را دور بزند و دسترسی گسترده به داده های کاربر داشته باشد، کنترل کل سیستم برای هکر آسان خواهد بود. با وادار کردن Kernel به استفاده از صفحات فیزیکی فوق الذکر به عنوان جداول صفحه، مهاجم ممکن است بتوانداین کار را انجام دهد.
یکی از نمایندگان گوگل به Engadget اطلاع داد که اصلاح منتشر شده توسط ARM در حال حاضر در حال آزمایش برای دستگاه های Android و Pixel است و در هفته های آینده ارائه خواهد شد. برای برآوردن الزامات آتی SPL، شریک های OEM Android موظف به دریافت پچ خواهند بود. به هر حال، قابل ذکر است که دستگاه های مجهز به چیپست کوالکام اسنپدراگون از این آسیب پذیری بی تأثیر هستند.
برای برآوردن الزامات آتی SPL، شریک های OEM Android موظف به دریافت پچ خواهند بود. به هر حال، قابل ذکر است این آسیب پذیری بر دستگاه های مجهز به چیپست کوالکام تاثیری ندارد.
