Google adverte: “patch gap” do Android torna esses smartphones vulneráveis ​​a ataques

Imagem: MS_studio/Shutterstock

Muitos smartphones Android são vulneráveis ​​a vários problemas de segurança muito sérios relatados pelo Google Project Zero durante o verão, mas permanecem sem correção, apesar de Arm lançar patches.

Os telefones Android com GPUs Arm Mali são afetados pelas falhas não corrigidas. Como aponta o pesquisador do GPZ, Ian Beer, até os telefones Pixel do Google são vulneráveis, assim como os telefones da Samsung, Xiaomi, Oppo e outros.

Beer está pedindo a todos os principais fornecedores de smartphones Android que façam exatamente o que os consumidores recebem o tempo todo e consertem seus dispositivos o mais rápido possível. Atualmente, os próprios usuários de smartphones não podem aplicar um patch para um driver de GPU Arm Mali, embora Arm tenha lançado patches para eles meses atrás, já que nenhum fornecedor de smartphone Android aplicou as correções em suas versões do Android.

como cerveja notas em um post de blogoutro pesquisador do GPZ, Jann Horn, encontrou cinco vulnerabilidades exploráveis ​​no driver da GPU do Mali que estão sendo rastreadas pelo GPZ como problemas 2325, 2327, 2331, 2333, 2334. Estes foram relatados em Arm em junho e julho de 2022.

Também: Melhores telefones 5G: qual carro-chefe sai por cima?

Arm os corrigiu em julho e agosto e atribuiu a eles o ID de vulnerabilidade CVE-2022-36449divulgou-os no Vulnerabilidades do driver Arm Mali página e publicou o fonte de driver corrigida em seu site de desenvolvedor público. Outro bug da GPU do Mali corrigido por Arm é rastreado como CVE-2022-33917. Beers refere-se aos dois bugs em seu relatório sobre a “lacuna de patch” dos fornecedores de telefones Android.

Assim, por vários meses, os fornecedores tiveram as informações para corrigi-los, mas em uma verificação recente da GPZ, nenhuma das principais marcas de aparelhos Android havia lançado uma correção para eles.

O GPZ, de acordo com suas próprias políticas, também suspendeu o bloqueio de acesso público a seus cinco relatórios, o que significa que qualquer pessoa que desejar pode agora ter a maior parte das informações necessárias para criar exploits para bugs, que afetam a maioria dos telefones Android modernos. .

Felizmente, parece que a equipe Pixel do Google e a equipe Android estão no caso. A partir desta semana, a equipe do Android está em discussão com os fabricantes de smartphones Android (OEMs) e solicitará que corrijam vulnerabilidades para cumprir o Android OEM. política de nível de patch de segurança (SPL). Mas a equipe do Pixel não terá correções por algumas semanas. Outros OEMs do Android eventualmente seguirão.

“Atualização do Android e Pixel, escreveu Pesquisador GPZ, Tim Willis, terça-feira nos cinco relatórios de bug.

“O patch fornecido pela Arm está atualmente sendo testado para dispositivos Android e Pixel e será lançado nas próximas semanas. Os parceiros OEM do Android precisarão usar o patch para cumprir os futuros requisitos SPL”, escreveu Williams, citando alguém do Android. e equipes de pixel.

Para a cerveja, é um lembrete de que os vendedores devem fazer o que os consumidores devem fazer.

“Assim como os usuários são recomendados a corrigir o mais rápido possível quando uma versão contendo atualizações de segurança estiver disponível, também os fornecedores e empresas”, escreveu Beer.

“Minimizar o ‘patch ausente’ como fornecedor nesses cenários é indiscutivelmente mais importante, pois os usuários finais (ou outros fornecedores downstream) bloqueiam essa ação antes que possam experimentar os benefícios de segurança do patch.

“As empresas devem permanecer vigilantes, acompanhar de perto as fontes upstream e fazer o possível para fornecer correções completas aos usuários o mais rápido possível”.