負責信息安全的谷歌零項目團隊報告了谷歌、三星、小米和其他品牌智能手機的嚴重問題。根據他們的說法,關鍵在于 CVE-2022-33917 漏洞,該漏洞允許遠程訪問配備 ARM Mali GPU 的 Android 智能手機上的照片、視頻和其他文件。但是,更糟糕的是,供應商并不急于解決已發現的問題。
零項目專家發現 ARM Mali 視頻加速器驅動程序允許您覆蓋智能手機內存的只讀部分。此外,零計劃還揭示了該驅動程序中的另外五個漏洞。根據發現的“漏洞”,攻擊者可以繞過操作系統的權限控制,獲取Android的所有功能。例如,您可以“不詢問”操作系統來安裝將用戶文件發送到攻擊者服務器的應用程序。
早在 2022 年夏天,專家就發現了這些問題,同時將發現的所有漏洞通知了 ARM。早在 8 月,該公司就發布了更新的安全驅動程序。為了測試修復,工程師們試圖破解谷歌、三星、小米和 OPPO 的智能手機。但是,這些設備上沒有更新的驅動程序。
零項目得出結論,在這種情況下,供應商的遲緩與發現的漏洞一起是危險的。該公司建議所有制造商盡快為所有帶有 Mali 的智能手機發布安全補丁。
