Команда Google Project Zero, отвечающая за информационную безопасность, сообщила о критических проблемах в смартфонах Google, Samsung, Xiaomi и других брендов. По их словам, дело в уязвимости CVE-2022-33917, которая позволяет получить удалённый доступ к фото, видео и остальным файлам на Android-смартфонах с GPU ARM Mali. Но, что хуже, вендоры не торопятся исправлять выявленную проблему.
Специалисты Project Zero установили, что драйвера видеоускорителя ARM Mali позволяют перезаписывать участки памяти смартфона, доступные только для чтения. Также в Project Zero выявили ещё пять уязвимостей этого драйвера. На основе найденных «дыр» злоумышленник может получить доступ ко всем возможностям Android, обойдя контроль разрешений ОС. Например, можно «без спроса» ОС установить приложение, которое будет отправлять пользовательские файлы на сервер злоумышленника.
Эксперты отыскали эти проблемы ещё летом 2022 года и тогда же уведомили ARM обо всех найденных уязвимостях. Уже в августе компания выпустила обновлённые и безопасные драйвера. В надежде протестировать исправления инженеры попытались взломать смартфоны Google, Samsung, Xiaomi, OPPO. Однако обновлённых драйверов на этих устройствах не оказалось.
В Project Zero заключили, что в этой ситуации нерасторопность вендоров опасна наравне с найденной уязвимостью. В компании порекомендовали всем производителям выпустить патч безопасности на все смартфоны с Mali как можно скорее.