گوگل و سایر تولیدکنندگان دستگاههای اندرویدی، برخی نقصهای امنیتی را اصلاح نکردهاند
گوگل قبلاً چندین نقص امنیتی را در گوشیهای هوشمندی که از پردازندههای گرافیکی Mali استفاده میکنند مثل محصولات مجهز به تراشههای اگزینوس، فاش کرده است. تیم پروژهی صفر (Project Zero) میگوید مشکلات مذکور در تابستان سال جاری به ARM اطلاعرسانی شد. آرم نیز موارد امنیتی مطرحشده ازطرف غول جستجوی اینترنت را در ماه جولای و اگوست برطرف کرد. بهگفتهی تیم پروژهی صفر، با گذشت چندماه از رفع این آسیبپذیریها، تولیدکنندگان گوشیهای هوشمند اندرویدی ازجمله سامسونگ، شیائومی، اوپو و خود گوگل تا اوایل هفتهی جاری وصلههای رفع این مشکلات را منتشر نکرده بودند.
به گزارش انگجت، محققان Project Zero گوگل در بازهی زمانی ژوئن تا جولای پنج مشکل جدید را شناسایی و آنها سریعاً به ARM اعلام کردند. ایان بیر یکی از اعضای پروژهی صفر با انتشار پست وبلاگی گفت:
یکی از مشکلات پردازندههای گرافیکی Mali باعث آسیبرساندن به هستهی حافظه و یکی دیگر از آنها باعث افشای آدرسهای حافظهی فیزیکی در فضای کاربری میشود. سهمورد دیگر از این مشکلات نیز به شرایط استفاده از حافظهی فیزیکی پساز آزاد شدن آن ارتباط دارند. مهاجمان میتوانند با سوءاستفاده از این باگها، اطلاعات موردنظر خود را روی حافظههای فیزیکی بنویسند و بخوانند.
- گوگل میگوید گوشیهای سامسونگ هدف آسیبپذیری روزصفر قرار گرفتهاند
- پهپاد وحشتناکی که میتواند بااستفاده از وایفای، حتی پشت دیوارها را هم ببیند
بیر اشاره کرد این امکان وجود دارد که هکرها ازطریق آسیبپذیریهای پردازندههای گرافیکی Mali بهطور کامل به یک سیستم هدف دسترسی پیدا کنند زیرا آنها قادر خواهند بود مدل مجوزهای اندروید را دور زده و به دادههای کاربران بهطور گسترده دسترسی یابند. مهاجمان میتوانند این کار را با اجبار هستهها به استفادهی مجدد از حافظههای فیزیکی انجام دهند.
اعضای پروژهی صفر گوگل دریافتند که سهماه پساز اینکه ARM آسیبپذیریهای پردازندههای گرافیکی Mali را برطرف کرده است، همهی دستگاههای مورد آزمایش این تیم همچنان دربرابر آن نقصها، آسیبپذیر بودند. شایانذکر است این مورد تاکنون در انجمنهای اطلاعرسانی تولیدکنندگان محصولات اندرویدی اعلام نشده بود.
البته باید اشاره کنیم دستگاههای سری گلکسی S22 سامسونگ و گوشیهای اندرویدی دیگری از که تراشههای اسنپدراگون استفاده میکنند، تحتتأثیر آسیبپذیریهای مطرحشده از طرف تیم پروژهی صفر گوگل قرار نگرفتهاند.