El equipo Project Zero de Google ha revelado varias vulnerabilidades de seguridad de día cero que afectan a millones de teléfonos inteligentes Android vendidos en todo el mundo. Los dispositivos con GPU Mali de ARM, como los que funcionan con los procesadores Exynos de Samsung, son vulnerables a estas fallas de seguridad. ARM ya corrigió los errores, pero los fabricantes de dispositivos aún tienen que implementar la solución.
Project Zero de Google revela cinco vulnerabilidades de día cero
El investigador de Project Zero, Jann Horn, descubrió cinco vulnerabilidades explotables en el controlador de GPU ARM Mali entre junio y julio de este año. Una de las fallas de seguridad puede conducir a la corrupción de la memoria del kernel, mientras que otra puede exponer las direcciones de la memoria física al espacio del usuario. los tres restantes conducir a una condición libre de uso de una página física.
Estas fallas «permitirían a un atacante continuar leyendo y escribiendo páginas físicas después de que hayan sido devueltas al sistema», explica Ian Beer de Project Zero. «Un atacante con ejecución de código nativo en el contexto de una aplicación puede obtener acceso completo al sistema, eludir el modelo de permisos de Android y permitir un amplio acceso a los datos del usuario».
El equipo de seguridad de Google informó de inmediato estas fallas a ARM. La compañía de semiconductores también resolvió rápidamente los problemas. La empresa asignada CVE-2022-36449 a los defectos y publicó el recurso de parche en el sitio web del desarrollador. Para dar tiempo a los OEM para implementar el parche en los dispositivos afectados, Google no ha revelado públicamente las vulnerabilidades. Después de esperar 30 días, publicó las vulnerabilidades en el rastreador público Project Zero entre finales de agosto y mediados de septiembre.
Desafortunadamente, incluso después de que ARM lanzó el parche durante casi cuatro meses, ningún fabricante de Android lo ha instalado en sus dispositivos afectados. Project Zero informa que CVE-2022-36449 ya no aparecerá en los boletines de seguridad posteriores a partir del martes 22 de noviembre. Los investigadores instan a las empresas a mantenerse alerta y monitorear de cerca las fuentes ascendentes para proporcionar parches a los usuarios lo antes posible. «Minimizar la brecha de parches como proveedor en estos escenarios es posiblemente más importante», escribe Beer.
Google todavía está probando el parche de ARM
Google dice que está probando el parche de ARM y planea implementarlo pronto, posiblemente con la actualización de seguridad de Android de diciembre. Será obligatorio para todos los socios OEM. «La solución de ARM se está probando actualmente para dispositivos Android y Pixel y se entregará en las próximas semanas», dijo un portavoz de Google a Engadget. «Los socios OEM de Android deberán usar el parche para cumplir con los futuros requisitos de SPL». Estamos monitoreando esto de cerca y le informaremos cuando tengamos más información.
