Google ha revelado varias fallas de seguridad para los teléfonos que tienen GPU Mali, como los que tienen SoC Exynos. El equipo Project Zero de la compañía dice que señaló los problemas a ARM (que diseña las GPU) en el verano. ARM resolvió los problemas por su parte en julio y agosto. Sin embargo, los fabricantes de teléfonos inteligentes, incluidos Samsung, Xiaomi, Oppo y el propio Google, no habían implementado parches para corregir las vulnerabilidades a principios de esta semana, dijo Project Zero.
Los investigadores identificaron cinco problemas nuevos en junio y julio y los señalaron rápidamente a ARM. «Uno de estos problemas condujo a la corrupción de la memoria del núcleo, uno condujo a que las direcciones de memoria física se revelaran al espacio de usuario y los tres restantes condujeron a una condición de uso después de libre de la página física», escribió Ian Beer de Project Zero en una publicación de blog. «Esto permitiría que un atacante continúe leyendo y escribiendo páginas físicas después de que hayan sido devueltas al sistema».
Beer señaló que sería posible que un pirata informático obtuviera acceso completo a un sistema, ya que podría eludir el modelo de permisos en Android y obtener un «acceso amplio» a los datos de un usuario. El atacante podría hacerlo forzando al kernel a reutilizar las páginas físicas mencionadas anteriormente como tablas de páginas.
Project Zero descubrió que, tres meses después de que ARM solucionó estos problemas, todos los dispositivos de prueba del equipo aún eran vulnerables a las fallas. Hasta el martes, los problemas no se mencionaron «en ningún boletín de seguridad posterior» de los fabricantes de Android.
Engadget se ha puesto en contacto con Google, Samsung, Oppo y Xiaomi para preguntar cuándo implementarán las correcciones en sus dispositivos Android y por qué les ha llevado tanto tiempo hacerlo. Como SamMobile notas, los dispositivos de la serie Galaxy S22 de Samsung y los teléfonos con tecnología Snapdragon de la compañía no se ven afectados por estas vulnerabilidades.
Todos los productos recomendados por Engadget son seleccionados por nuestro equipo editorial, independiente de nuestra empresa matriz. Algunas de nuestras historias incluyen enlaces de afiliados. Si compra algo a través de uno de estos enlaces, podemos ganar una comisión de afiliado. Todos los precios son correctos en el momento de la publicación.