Home > News su Android, tutte le novità > Le patch di sicurezza per Android sono una pagliacciata?

Le patch di sicurezza per Android sono una pagliacciata?

Malware Android

Il team Project Zero di Google ha rivelato diversi difetti di sicurezza per i telefoni con GPU Mali, come quelli con SoC Exynos. Il team afferma di aver segnalato i problemi ad ARM (che progetta le GPU) in estate. ARM ha risolto i problemi alla fine di luglio e agosto. Tuttavia, i produttori di smartphone tra cui Samsung, Xiaomi, Oppo e Google stessa non avevano distribuito patch di sicurezza per correggere le vulnerabilità all’inizio di questa settimana, ha affermato Project Zero.

I ricercatori hanno identificato cinque nuovi problemi a giugno e luglio e li hanno prontamente segnalati ad ARM. “Uno di questi problemi ha portato alla corruzione della memoria del kernel, uno ha portato alla divulgazione degli indirizzi di memoria fisica allo spazio utente e gli altri tre hanno portato a una condizione fisica di utilizzo dopo la libertà della pagina“, ha scritto Ian Beer di Project Zero in un post sul blog. “Questi consentirebbero a un utente malintenzionato di continuare a leggere e scrivere pagine fisiche dopo che sono state restituite al sistema“.

Beer ha osservato che sarebbe possibile per un hacker ottenere l’accesso completo a un sistema in quanto sarebbe in grado di aggirare il modello di autorizzazioni su Android e ottenere un “ampio accesso” ai dati di un utente. L’attaccante potrebbe farlo forzando il kernel a riutilizzare le suddette pagine fisiche come tabelle di pagine.

Project Zero ha scoperto che, tre mesi dopo che ARM ha risolto questi problemi, tutti i dispositivi di test del team erano ancora vulnerabili ai difetti. Nelle ultime patch i problemi non sono stati menzionati “in nessun bollettino sulla sicurezza” dei produttori di Android.

Come osserva SamMobile, i dispositivi della serie Galaxy S22 di Samsung e i telefoni basati su Snapdragon dell’azienda non sono interessati da queste vulnerabilità.

VIA