El equipo de analistas de seguridad del «Proyecto Cero» de Google quiere librar al mundo de las vulnerabilidades de seguridad de día cero, y eso significa que dedica tiempo a denunciar a las empresas flojas en su blog. La última publicación del grupo es un poco de fuego amigo dirigido a los equipos de Android y Pixel, que, según Project Zero, no están lidiando con errores en el controlador de GPU ARM lo suficientemente rápido.
En junio, la investigadora de Project Zero, Maddie Stone, detalló un exploit en estado salvaje para Pixel 6, donde los errores en el controlador de GPU ARM podrían permitir que un usuario sin privilegios obtenga acceso de escritura a la memoria de solo lectura. Otro investigador de Project Zero, Jann Horn, pasó las siguientes tres semanas buscando vulnerabilidades relacionadas en el controlador. La publicación dice que estos errores podrían permitir que «un atacante con ejecución de código nativo en un contexto de aplicación [to] obtenga acceso completo al sistema, sin pasar por el modelo de permisos de Android y permitiendo un amplio acceso a los datos del usuario».
Project Zero dice que informó estos problemas a ARM «entre junio y julio de 2022» y que ARM solucionó los problemas «rápidamente» en julio y agosto, emitiendo un boletín de seguridad (CVE-2022-36449) y publicando el código fuente corregido. Pero estas vulnerabilidades explotadas activamente no han sido parcheadas para los usuarios. Aparentemente, los grupos que lanzan la pelota son Google y varios OEM de Android, ya que Project Zero dice que meses después de que ARM solucionó las vulnerabilidades, «todos nuestros dispositivos de prueba que usaban Mali siguen siendo vulnerables a estos problemas. CVE-2022-36449 no se menciona en cualquier boletín de seguridad posterior».
Las GPU ARM afectadas incluyen una larga lista de las últimas tres generaciones de arquitecturas de GPU ARM (Midgard, Bifrost y Valhall), que van desde dispositivos que se envían actualmente hasta teléfonos de 2016. Las GPU de ARM no son utilizadas por los chips de Qualcomm, sino por el SoC Tensor de Google. usa GPU ARM en Pixel 6, 6a y 7, y Exynos SoC de Samsung usa GPU ARM para sus teléfonos de gama media y buques insignia internacionales más antiguos como el Galaxy S21 (pero no el Galaxy S22). Los SoC de Mediatek también son usuarios de GPU ARM, por lo que estamos hablando de millones de teléfonos Android vulnerables de casi todos los OEM de Android.
En respuesta a la publicación de blog de Project Zero, Google le dijo a Engadget: «La solución proporcionada por Arm se está probando actualmente para dispositivos Android y Pixel y se entregará en las próximas semanas. Se requerirá que los socios OEM de Android tomen el parche para cumplir con futuros requisitos de SPL».
Los analistas de Project Zero finalizan su publicación de blog con algunos consejos para sus colegas, diciendo: «Así como se recomienda a los usuarios aplicar parches lo más rápido posible una vez que esté disponible una versión que contenga actualizaciones de seguridad, lo mismo se aplica a los proveedores y empresas. Podría decirse que es más importante minimizar la «brecha de parches» como proveedor en estos escenarios, ya que los usuarios finales (u otros proveedores posteriores) están bloqueando esta acción antes de que puedan recibir los beneficios de seguridad del parche. Las empresas deben permanecer alerta, seguir de cerca las fuentes ascendentes y hacer todo lo posible para proporcionar parches completos a los usuarios lo antes posible».