谷歌零號專案(Google LLC 聘請的一組安全分析師)警告稱,Android 手機製造商未能針對今年稍早在晶片層面發現的多個漏洞提供修復。
目前,數以百萬計的智慧型手機容易受到多個安全漏洞的影響。發表的一份報告谷歌零規劃團隊強調了影響 Android 供應鏈的“補丁缺口”,因為它通常需要韌體安全更新需要幾個月的時間才能到達受影響的裝置。
ARM Mali GPU 驅動程式中存在五個可利用的漏洞,這些漏洞存在於多個不同的處理器中,但在晶片製造商修補這些漏洞幾個月後,這些漏洞仍然沒有得到修補。可能會使數百萬 Android 裝置遭受攻擊。
另請閱讀——三星 Galaxy:多個零時差漏洞使得監視用戶成為可能!
配備 Mali GPU 的智慧型手機容易受到攻擊
這五個漏洞包括一個導致核心記憶體損壞、另一個可能導致實體位址外洩、以及三個可能導致釋放後使用實體頁的情況。更具體地說,所有五個漏洞都允許攻擊者在實體頁返回系統後繼續讀取和寫入實體頁。
這些缺陷已被 ARM 修復,但智慧型手機製造商仍然需要將這些修復應用到他們的終端上。與iPhone行動生態系統硬體和軟體的唯一創造者蘋果不同,智慧型手機製造商的激增使得糾正晶片缺陷的時間更長。儘管 ARM 很快就提供了所有元素來彌補該缺陷,製造商尚未將補丁應用到他們的設備上,但這應該很快就會改變。
這些缺陷似乎影響了代號為 Valhall、Bifrost、Midgard 的 ARM Mali GPU 驅動程式。受影響的設備包括數十款智慧型手機,包括 Pixel 7、RealMe GT、小米 12 Pro、OnePlus 10R、三星 Galaxy S10、華為 P40 Pro 等。
