负责信息安全的谷歌零项目团队报告了谷歌、三星、小米和其他品牌智能手机的严重问题。根据他们的说法,关键在于 CVE-2022-33917 漏洞,该漏洞允许远程访问配备 ARM Mali GPU 的 Android 智能手机上的照片、视频和其他文件。但是,更糟糕的是,供应商并不急于解决已发现的问题。
零项目专家发现 ARM Mali 视频加速器驱动程序允许您覆盖智能手机内存的只读部分。此外,零计划还揭示了该驱动程序中的另外五个漏洞。根据发现的“漏洞”,攻击者可以绕过操作系统的权限控制,获取Android的所有功能。例如,您可以“不询问”操作系统来安装将用户文件发送到攻击者服务器的应用程序。
早在 2022 年夏天,专家就发现了这些问题,同时将发现的所有漏洞通知了 ARM。早在 8 月,该公司就发布了更新的安全驱动程序。为了测试修复,工程师们试图破解谷歌、三星、小米和 OPPO 的智能手机。但是,这些设备上没有更新的驱动程序。
零项目得出结论,在这种情况下,供应商的迟缓与发现的漏洞一起是危险的。该公司建议所有制造商尽快为所有带有 Mali 的智能手机发布安全补丁。
