
Google旗下的软件网安团队Project Zero于2022年6月发现,ARM Mali GPU的驱动程序中,存在5个威胁程度被列为中等的网安漏洞,影响Android手机系统安全性。虽然ARM 1个月后在开发者网站承认此一问题并发布更新,但截至2022年11月,几间采用ARM Mali GPU的Android手机品牌,包括三星电子(Samsung Electronics)、乐金电子(LG Electronics)、小米、OPPO甚至Google自己,都尚未推出修复此一漏洞的安全性更新。
据TechRadar与SiliconANGLE报导,5个漏洞分属CVE-2022-33917和CVE-202236449两个识别码。其中1个漏洞会造成核心存储器毁损、1个会透露实体存储器位置,另外3个则是与释放后使用(UAF)漏洞有关。上述漏洞允许黑客绕过Android系统的权限保护,取得权限反复读取和写入实体页面、存取使用者数据。
Project Zero网安专家Ian Beer表示,其公布的ARM Mali GPU漏洞与目前黑客在零时差漏洞市场和暗网页面上,兜售交易的漏洞不谋而合。
尽管软件方发现问题并提出警告,硬件方的反应却慢了不只半拍。各家OEM厂皆使用ARM Mali GPU的Android手机,但搭载的Android系统都是经各自修改微调的版本,因此需各自为旗下产品推出更新,方可修正上述威胁。
以Google为例,即便该公司网安软件团队发现驱动程序漏洞,也在自家Pixel 6、Pixel 7手机侦测到潜在风险,但相关部门迟迟未有对应措施,导致使用者持续暴露在网安风险中。
对此,Beer认为包括Google在内的硬件厂商,有责任尽快推出修正漏洞的系统更新,「就像我们会建议使用者,若有看到升级网安的更新,最好第一时间就安装;品牌方和手机厂商也是一样,尽可能地最小化发现问题到推出更新的时间差尤其重要,否则使用者就算有心挽救也无计可施。」
责任编辑:游允彤
暂无评论哦,快来评论一下吧!
