Google sagt, Google und andere Android-Hersteller hätten es versäumt, Sicherheitslücken zu patchen
Google hat mehrere Sicherheitslücken für Telefone aufgedeckt, die mit malischen GPUs ausgestattet sind, beispielsweise solche, die mit Exynos-SoCs ausgestattet sind. Das Project Zero-Team des Unternehmens sagte, es habe die Probleme diesen Sommer an ARM (das die GPUs entwickelt) gemeldet. ARM hat die Probleme an seinem Ende im Juli und August behoben. Allerdings hatten Smartphone-Hersteller wie Samsung, Xiaomi, Oppo und Google selbst bis Anfang dieser Woche keine Patches zur Behebung der Schwachstellen bereitgestellt, sagte Project Zero.
Forscher identifizierten im Juni und Juli fünf neue Probleme und meldeten sie umgehend an ARM. „Eines dieser Probleme führte zu einer Beschädigung des Kernel-Speichers, eines führte zur Offenlegung physischer Speicheradressen an den Benutzerbereich und die anderen drei führten zu einer Nutzungsbedingung der physischen Seite nach der Veröffentlichung“, schrieb Ian Beer von Project Zero in einem Blogbeitrag. "Diese würden es einem Angreifer ermöglichen, physische Seiten weiter zu lesen und zu schreiben, nachdem sie an das System zurückgegeben wurden."
Beer bemerkte, dass es für einen Hacker möglich wäre, vollen Zugriff auf ein System zu erlangen, da er das Berechtigungsmodell auf Android umgehen und "erweiterten Zugriff" auf die Daten eines Benutzers erlangen könnte. Der Angreifer könnte dies tun, indem er den Kernel zwingt, die oben erwähnten physikalischen Seiten als Seitentabellen wiederzuverwenden.
Project Zero stellte fest, dass drei Monate, nachdem ARM diese Probleme behoben hatte, alle Testgeräte des Teams immer noch anfällig für die Fehler waren. Bis Dienstag wurden die Probleme in „keinen nachgelagerten Sicherheitsbulletins“ von Android-Herstellern erwähnt.
Engadget hat sich an Google, Samsung, Oppo und Xiaomi gewandt, um zu fragen, wann sie die Fixes für ihre Android-Geräte bereitstellen werden und warum sie so lange dafür gebraucht haben. Wie von SamMobile angemerkt, sind die Geräte der Galaxy S22-Serie von Samsung und die mit Snapdragon betriebenen Mobiltelefone des Unternehmens von diesen Schwachstellen nicht betroffen.
Alle von Engadget empfohlenen Produkte werden von unserem Redaktionsteam unabhängig von unserer Muttergesellschaft ausgewählt. Einige unserer Geschichten enthalten Affiliate-Links. Wenn Sie etwas über einen dieser Links kaufen, erhalten wir möglicherweise eine Affiliate-Provision. Alle Preise sind zum Zeitpunkt der Veröffentlichung gültig.
Google hat mehrere Sicherheitslücken für Telefone aufgedeckt, die mit malischen GPUs ausgestattet sind, beispielsweise solche, die mit Exynos-SoCs ausgestattet sind. Das Project Zero-Team des Unternehmens sagte, es habe die Probleme diesen Sommer an ARM (das die GPUs entwickelt) gemeldet. ARM hat die Probleme an seinem Ende im Juli und August behoben. Allerdings hatten Smartphone-Hersteller wie Samsung, Xiaomi, Oppo und Google selbst bis Anfang dieser Woche keine Patches zur Behebung der Schwachstellen bereitgestellt, sagte Project Zero.
Forscher identifizierten im Juni und Juli fünf neue Probleme und meldeten sie umgehend an ARM. „Eines dieser Probleme führte zu einer Beschädigung des Kernel-Speichers, eines führte zur Offenlegung physischer Speicheradressen an den Benutzerbereich und die anderen drei führten zu einer Nutzungsbedingung der physischen Seite nach der Veröffentlichung“, schrieb Ian Beer von Project Zero in einem Blogbeitrag. "Diese würden es einem Angreifer ermöglichen, physische Seiten weiter zu lesen und zu schreiben, nachdem sie an das System zurückgegeben wurden."
Beer bemerkte, dass es für einen Hacker möglich wäre, vollen Zugriff auf ein System zu erlangen, da er das Berechtigungsmodell auf Android umgehen und "erweiterten Zugriff" auf die Daten eines Benutzers erlangen könnte. Der Angreifer könnte dies tun, indem er den Kernel zwingt, die oben erwähnten physikalischen Seiten als Seitentabellen wiederzuverwenden.
Project Zero stellte fest, dass drei Monate, nachdem ARM diese Probleme behoben hatte, alle Testgeräte des Teams immer noch anfällig für die Fehler waren. Bis Dienstag wurden die Probleme in „keinen nachgelagerten Sicherheitsbulletins“ von Android-Herstellern erwähnt.
Engadget hat sich an Google, Samsung, Oppo und Xiaomi gewandt, um zu fragen, wann sie die Fixes für ihre Android-Geräte bereitstellen werden und warum sie so lange dafür gebraucht haben. Wie von SamMobile angemerkt, sind die Geräte der Galaxy S22-Serie von Samsung und die mit Snapdragon betriebenen Mobiltelefone des Unternehmens von diesen Schwachstellen nicht betroffen.
Alle von Engadget empfohlenen Produkte werden von unserem Redaktionsteam unabhängig von unserer Muttergesellschaft ausgewählt. Einige unserer Geschichten enthalten Affiliate-Links. Wenn Sie etwas über einen dieser Links kaufen, erhalten wir möglicherweise eine Affiliate-Provision. Alle Preise sind zum Zeitpunkt der Veröffentlichung gültig.
What's Your Reaction?
