I nuovi microprocessori prodotti per i dispositivi Android presentano una falla nella sicurezza. La notizia imbarazza Google che corre ai ripari per sistemare il problema.
Una ricerca pubblicata sul blog ufficiale di Google riporta una falla nella sicurezza che colpisce i dispositivi Samsung, Xiaomi e OPPO. Questi smartphone utilizzano i microprocessori GPU Mali di ARM, soggetti al principale difetto di sicurezza noto come CVE-2022-33917.
Il team di Project Zero ha fornito ulteriori informazioni sulla natura del problema e sui motivi per cui è urgente che si trovi una soluzione il prima possibile. Durante i mesi di giugno e luglio, i ricercatori hanno scoperto un totale di cinque distinte vulnerabilità, una delle quali includeva la “corruzione del kernel”.
Secondo le informazioni fornite da Project Zero, un altro problema potrebbe comportare la trapelazione di posizioni di memoria fisica nello spazio utente. I restanti tre problemi, su un totale di cinque, “porterebbero a uno stato fisico di utilizzo dopo la libertà della pagina”.
Allarme a casa Google
La notizia ha preso di soppressa gli esperti di Android, che si affidavano ai microprocessori GPU Mali per garantire la sicurezza ai loro clienti. Google si affretta a rimediare alla falla, avvisando i proprietari dei dispositivi del difetto di fabbricazione.
Project Zero rende abbastanza ovvio che questi difetti consentirebbero a un attacco di ottenere l’intero accesso al sistema di un telefono. Questo permetterebbe di aggirare il sistema di autorizzazioni di un dispositivo Android, consentendo all’attaccante di accedere a maggiori dati utente.
Google non è stata l’unica a sollevare le preoccupazioni, anche la nota società produttrice di microprocessori ARM si presta a voler risolvere il problema il prima possibile. La società ha implementato una correzione molto rapidamente durante i mesi di luglio e agosto per risolvere questo problema critico. Tuttavia, dopo aver effettuato ulteriori test per valutare l’efficacia della patch, si è scoperto che questo problema di sicurezza esiste ancora anche con i presunti rimedi. Questa è stata una sorpresa poiché la patch avrebbe dovuto risolverlo.
L’obiettivo di Google è ridurre il “gap di patch” che esiste tra le aziende e la loro capacità di identificare e correggere le vulnerabilità. L’effetto finale di ciò sarebbe che le aziende producano le correzioni appropriate e le distribuiscano rapidamente alle persone che ne sono interessate, risolvendo così eventuali problemi importanti che si stanno verificando ora.