負(fù)責(zé)信息安全的谷歌零項(xiàng)目團(tuán)隊(duì)報(bào)告了谷歌、三星、小米和其他品牌智能手機(jī)的嚴(yán)重問題。根據(jù)他們的說法,關(guān)鍵在于 CVE-2022-33917 漏洞,該漏洞允許遠(yuǎn)程訪問配備 ARM Mali GPU 的 Android 智能手機(jī)上的照片、視頻和其他文件。但是,更糟糕的是,供應(yīng)商并不急于解決已發(fā)現(xiàn)的問題。
零項(xiàng)目專家發(fā)現(xiàn) ARM Mali 視頻加速器驅(qū)動程序允許您覆蓋智能手機(jī)內(nèi)存的只讀部分。此外,零計(jì)劃還揭示了該驅(qū)動程序中的另外五個(gè)漏洞。根據(jù)發(fā)現(xiàn)的“漏洞”,攻擊者可以繞過操作系統(tǒng)的權(quán)限控制,獲取Android的所有功能。例如,您可以“不詢問”操作系統(tǒng)來安裝將用戶文件發(fā)送到攻擊者服務(wù)器的應(yīng)用程序。
早在 2022 年夏天,專家就發(fā)現(xiàn)了這些問題,同時(shí)將發(fā)現(xiàn)的所有漏洞通知了 ARM。早在 8 月,該公司就發(fā)布了更新的安全驅(qū)動程序。為了測試修復(fù),工程師們試圖破解谷歌、三星、小米和 OPPO 的智能手機(jī)。但是,這些設(shè)備上沒有更新的驅(qū)動程序。
零項(xiàng)目得出結(jié)論,在這種情況下,供應(yīng)商的遲緩與發(fā)現(xiàn)的漏洞一起是危險(xiǎn)的。該公司建議所有制造商盡快為所有帶有 Mali 的智能手機(jī)發(fā)布安全補(bǔ)丁。
