Entre junho e julho deste ano, o time da Project Zero, a divisão de pesquisa em segurança do Google, divulgou diversas falhas de segurança encontradas em smartphones equipados com GPU Mali. A ARM, fabricante do modelo, foi notificada e promoveu as devidas atualizações do seu lado, urgindo às fabricantes clientes que disponibilizassem as correções a seus usuários.

Estamos em novembro, e várias destas fabricantes ainda não fizeram isso, de acordo com novo relato do Project Zero. Algumas, inclusive, têm imenso renome no mercado, como Samsung e Xiaomi, além, ironicamente, do próprio Google, que fabrica os smartphones Pixel.

Imagem mostra uma GPU Mali, fabricada pela ARM para smartphones: marca estava sujeita a falhas perigosas de segurança

Imagem: ARM/Divulgação

“Um dos problemas levava à corrupção da memória no kernel, enquanto outra divulgava o endereço físico de memória do dispositivo. Essas falhas de segurança permitiriam a um hacker continuar lendo e escrevendo páginas físicas após elas serem devolvidas ao sistema operacional” – Project Zero, em julho de 2022

“Continuar lendo e escrevendo páginas físicas” pode ser entendido como “obter acesso amplo a um sistema”.

O processo de correção, nestes casos, envolve várias partes: a ARM, fabricante das GPUs Mali, precisaria criar um pacote de correções que fechasse esses buracos na segurança de seus componentes. Esse pacote seria então disponibilizado às fabricantes de smartphones que fizessem uso dessa tecnologia – geralmente, GPUs Mali são encontradas em aparelhos com processadores Exynos.

Isso foi feito.

O que ainda está faltando é o repasse dessas correções das fabricantes para os usuários. Para quem usa os smartphones potencialmente vulneráveis, esses pacotes seriam exibidos como uma atualização de segurança do Android, e costumam ser obrigatórios – desde que eles sejam disponibilizados.

O problema: de acordo com os boletins de atualização de segurança para fabricantes parceiras do Android, as atualizações referidas sequer foram mencionadas. Ou seja, não é apenas um caso de “não fizemos ainda mas estamos perto de fazer”, mas sim “isso ainda não está nos planos”.

A Samsung e as outras fabricantes foram novamente procuradas pelo Google – e pela imprensa internacional – mas por ora, ninguém comentou nada publicamente.

via Project Zero (Google)

Comentários

0

Please give us your valuable comment

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Inscrever-se
Notificar de
0 Comentários
Feedbacks embutidos
Ver todos os comentários