Google LLCが脆弱性を発見するために雇用しているセキュリティアナリストのグループであるGoogle Project Zeroは、Android携帯メーカーが今年初めに発見されたいくつかの脆弱性をチップレベルで修正していないことを警告している。
現在、数百万台のスマートフォンがいくつかのセキュリティ脆弱性に対して脆弱です。が発行したレポートGoogle のプロジェクト ゼロ チームAndroid のサプライ チェーンに影響を与える「パッチ ギャップ」を強調します。これは、一般的に必要とされるものです。ファームウェア セキュリティ アップデートが影響を受けるデバイスに届くまでに数か月かかります。
ARM の Mali GPU ドライバーに悪用可能な 5 つの脆弱性がいくつかの異なるプロセッサで見つかり、チップメーカーがパッチを適用してから数か月経ってもパッチが適用されないままになっています。数百万台の Android デバイスが攻撃にさらされる可能性があります。
こちらもお読みください –Samsung Galaxy: いくつかのゼロデイ欠陥により、ユーザーをスパイすることが可能になりました。
Mali GPU を搭載したスマートフォンは脆弱です
5 つの脆弱性には、カーネル メモリの破損につながる脆弱性が 1 つ、物理アドレスの漏洩につながる可能性のある脆弱性が 1 つ、物理ページの空き使用後の状態につながる可能性のある脆弱性が 3 つあります。具体的には、5 つの脆弱性すべてにより、攻撃者は物理ページがシステムに返された後も読み書きを続けることができます。
その後、この欠陥は ARM によって修正されました。, しかし、スマートフォンメーカーは依然としてこれらの修正を自社の端末に適用する必要があります。 iPhone モバイル エコシステムのハードウェアとソフトウェアを唯一作成している Apple とは異なり、スマートフォン メーカーの急増により、チップ上の欠陥を修正するのに時間がかかっています。 ARM は欠陥を埋めるためのすべての要素をすぐに提供しますが、メーカーはまだ自社のデバイスにパッチを適用していません、しかしそれはすぐに変わるはずです。
この欠陥は、Valhall、Bifrost、Midgardというコード名でARMのMali GPUドライバに影響を与えるようだ。影響を受けるデバイスの長いリストには、Pixel 7、RealMe GT、Xiaomi 12 Pro、OnePlus 10R、Samsung Galaxy S10、Huawei P40 Pro など、数十のスマートフォンが含まれています。