Google ha detallado una falla crítica de seguridad para teléfonos que contienen una GPU de Mali que aún no se ha abordado adecuadamente. El equipo del Proyecto Cero de Google publicado en su blog oficial detalles sobre cuál es este problema y por qué es tan importante que salga una solución inmediata.
El problema crítico de seguridad, CVE-2022-33917, afecta a dispositivos que contienen la GPU Mali de ARM. El informe enumera los usuarios de dispositivos de Google, Samsung, Xiaomi y OPPO con una GPU de Mali que corren el riesgo de esta falla de seguridad crítica sin parchear.
Los investigadores encontraron cinco problemas separados entre junio y julio con uno que trataba sobre la «corrupción del kernel.» Otro problema, como informa el Proyecto Cero, llevaría a «direcciones de memoria física a ser reveladas al espacio de usuario.» Los tres problemas restantes de los cinco «llevarían a una condición de uso después de la página física.»
En pocas palabras, Project Zero deja en claro que estos problemas permitirían un ataque de acceso completo al sistema de un teléfono y evitarían el sistema de permisos del dispositivo Android para que luego pudieran acceder a datos de usuario más amplios.
El Proyecto Cero explica que estos problemas se plantearon ARM y lanzó un parche con bastante rapidez durante julio y agosto para abordar este problema crucial. Sin embargo, a medida que se realizaron pruebas adicionales para determinar la efectividad del parche, se descubrió que este problema de seguridad aún persiste incluso con las supuestas correcciones.
Google espera reducir la «brecha de parches» con las empresas para encontrar y abordar problemas. El resultado final sería que las empresas creen los parches adecuados y los envíen a los usuarios afectados más rápido, resolviendo cualquier problema crítico como el que se enfrenta actualmente.
Un portavoz de Google ha informado Engadget sobre sus próximos pasos para abordar los problemas que indican: «La solución proporcionada por ARM se está sometiendo a pruebas para dispositivos Android y Pixel y se entregará en las próximas semanas. Los socios de Android OEM deberán tomar el parche para cumplir con los requisitos futuros de SPL.» Samsung ha comentado sobre cuándo abordará los problemas, pero no ha recibido noticias a tiempo para su publicación.