Специалисты команды Google Project Zero, занимающейся информационной безопасностью, объявила о выявленной уязвимости CVE-2022-33917, позволяющей злоумышленникам получать удалённый доступ к фотографиям, видеороликам и другим файлам на смартфонах многих производителей, включая Xiaomi, Redmi и Poco, основанных на платформах с графическим контроллером ARM Mali.
То есть, речь идет о моделях, оснащенных однокристальными системами Exynos и MediaTek, тогда как чипы от американской Qualcomm включают в себя фирменные графические ускорители Adreno, не имеющие данной уязвимости. При этом производители не торопятся исправлять данную проблему.
Если точнее, драйвера графики ARM Mali дают возможность перезаписывать участки памяти смартфона, которые, по идее, доступны только для чтения, а всего в указанных драйверах определили ещё пять весьма серьезных уязвимостей, «благодаря» которым можно получить доступ ко многим функциям Android, обходя контроль разрешений. Например, установить приложение с возможностью отправки пользовательских файлов на сервер злоумышленников.
Что любопытно, данные проблемы были найдены экспертами Google Project Zero ещё летом и они даже уведомили об этом компанию ARM, после чего, в августе, ARM выкатила обновленные драйвера без данных проблем.
Затем в Google Project Zero попытались взломать ряд смартфонов Google, Samsung, Xiaomi и Oppo на чипах Exynos и MediaTek, и очень удивились, не обнаружив на всех устройствах обновлённых драйверов.
В Google Project Zero порекомендовали производителям как можно скорее выпустить свежий патч безопасности операционной системы Android на все смартфоны с GPU ARM Mali, но как быстро они с этим справятся — большой вопрос.
Это подстава от квалкома! 100%!
Драйвера позволяют перезаписывать read-only память? Звучит как специально разработанная функция…