De nombreux smartphones Android sont vulnérables à plusieurs problèmes de sécurité très graves signalés par Google Project Zero au cours de l’été, mais restent non corrigés, malgré la publication de correctifs par Arm.
Les téléphones Android équipés de GPU Arm Mali sont affectés par les failles non corrigées. Comme le souligne Ian Beer, chercheur au GPZ, même les téléphones Pixel de Google sont vulnérables, tout comme les téléphones de Samsung, Xiaomi, Oppo et autres.
Beer exhorte tous les principaux fournisseurs de smartphones Android à faire exactement ce que les consommateurs reçoivent en permanence et à corriger leurs appareils dès que possible. À l’heure actuelle, les utilisateurs de smartphones eux-mêmes ne peuvent pas appliquer de correctif pour un pilote de GPU Arm Mali, bien qu’Arm ait publié des correctifs pour eux il y a des mois, car aucun fournisseur de smartphones Android n’a appliqué les correctifs à leurs versions Android.
Comme bière notes dans un article de blogun autre chercheur du GPZ, Jann Horn, a trouvé cinq vulnérabilités exploitables dans le pilote du GPU Mali qui sont suivies par le GPZ comme des problèmes 2325, 2327, 2331, 2333, 2334. Celles-ci ont été signalées à Arm en juin et juillet 2022.
Aussi: Les meilleurs téléphones 5G : quel produit phare arrive en tête ?
Arm les a corrigés en juillet et août et leur a attribué l’identifiant de vulnérabilité CVE-2022-36449les a divulgués sur le Vulnérabilités du pilote Arm Mali page, et a publié la source de pilote corrigée sur leur site Web de développeur public. Un autre bogue du GPU Mali corrigé par Arm est suivi comme CVE-2022-33917. Beers fait référence aux deux bugs dans son rapport sur le « patch gap » des vendeurs de téléphones Android.
Ainsi, depuis plusieurs mois, les fournisseurs disposaient des informations nécessaires pour les corriger, mais lors d’une récente vérification par GPZ, aucune des principales marques de combinés Android n’avait publié de correctif pour eux.
GPZ, conformément à ses propres politiques, a également levé son blocage sur l’accès public à ses cinq rapports, ce qui signifie que quiconque le souhaite peut désormais disposer de la plupart des informations dont il a besoin pour créer des exploits pour les bogues, qui affectent la plupart des téléphones Android modernes. .
Heureusement, il semble que l’équipe Pixel de Google et l’équipe Android soient sur l’affaire. À partir de cette semaine, l’équipe Android discute avec les fabricants de smartphones Android (OEM) et leur demandera de corriger les vulnérabilités afin de se conformer à l’OEM Android. politique de niveau de correctif de sécurité (SPL). Mais l’équipe Pixel n’aura pas de correctifs avant quelques semaines. D’autres OEM Android suivront éventuellement.
« Mettre à jour depuis Android et Pixel, a écrit Chercheur GPZ, Tim Willis, mardi dans les cinq rapports de bugs.
« Le correctif fourni par Arm est actuellement en cours de test pour les appareils Android et Pixel et sera livré dans les prochaines semaines. Les partenaires OEM d’Android devront prendre le correctif pour se conformer aux futures exigences SPL », a écrit Williams, citant quelqu’un d’Android. et les équipes Pixel.
Pour la bière, c’est un rappel que les vendeurs doivent faire ce que les consommateurs sont invités à faire.
« Tout comme il est recommandé aux utilisateurs de corriger le plus rapidement possible une fois qu’une version contenant des mises à jour de sécurité est disponible, il en va de même pour les fournisseurs et les entreprises », a écrit Beer.
« Minimiser le » manque de correctifs « en tant que fournisseur dans ces scénarios est sans doute plus important, car les utilisateurs finaux (ou d’autres fournisseurs en aval) bloquent cette action avant de pouvoir bénéficier des avantages de sécurité du correctif.
« Les entreprises doivent rester vigilantes, suivre de près les sources en amont et faire de leur mieux pour fournir des correctifs complets aux utilisateurs dès que possible. »
->Google Actualités
