Aucun code n’est parfait, mais lorsque des lacunes sont trouvées dont les attaquants peuvent profiter, il y a toujours une chance qu’il ouvre les vannes à un tiers non autorisé pour obtenir un accès complet à vos appareils. Heureusement, cela n’arrive généralement jamais à cela, car ces vulnérabilités sont corrigées avant la catastrophe, ou rapidement corrigées si c’est le cas. C’est pourquoi correctifs de sécurité en temps opportun sont importants sur le meilleurs téléphones Android. Cela dit, si votre téléphone utilise un GPU malien, vous voudrez peut-être prendre des précautions supplémentaires pour la prochaine fois, car des bouchons pour certaines failles de sécurité récemment divulguées continuent de se propager sur les appareils.
L’équipe de recherche sur la sécurité Project Zero de Google a un article de blog détaillant les exploits qu’il a trouvés dans le pilote GPU Mali d’Arm. Les chipsets mobiles tels que Samsung (Exynos), Google (Tensor) et MediaTek qui incluent le GPU peuvent être affectés – pas tant ceux qui possèdent des appareils exécutant un SoC Snapdragon que ceux qui présentent la propre conception de GPU Adreno de Qulacomm.
Project Zero dit que l’un de ses membres a effectué un audit sur le pilote GPU Mali après qu’un exploit précédent qu’il a trouvé a été corrigé – ils ont fait une présentation sur la vulnérabilité à FirstCon22 en juin.
Google dit qu’il a signalé ces cinq problèmes à ARM il y a des mois et qu’ils ont été rapidement divulgués et corrigé dans la source du pilote. Pourtant, des tests ultérieurs en aval avaient révélé que les correctifs n’avaient pas été intégrés aux versions des utilisateurs, ce qui rendait les téléphones toujours vulnérables, même aujourd’hui, malgré le fait qu’ARM ait résolu ces problèmes dès juillet. Même les téléphones Google Pixel récents équipés de Tensor sont concernés.
L’objectif de la publication est d’amener les OEM à « se soucier de l’écart des correctifs » et de faire de leur mieux pour déployer les correctifs de sécurité aux utilisateurs dès que possible. Avec une annonce publique comme celle-ci, le fabricant de votre téléphone peut être sous pression pour transmettre les correctifs, étant donné les soucis du fabricant de votre téléphone, bien sûr.
Les vulnérabilités sont listées sous CVE-2022-33917.
