Old Zero-Day Vulnerabilities Remain Unpatched on Samsung, Google Phones

0

قد يكسب هذا الموقع عمولات تابعة من خلال الروابط الموجودة في هذه الصفحة. شروط الاستخدام.

يحتل فريق Project Zero من Google موقع الصدارة في مجال الأمن الرقمي ، حيث يقوم بتحليل التعليمات البرمجية والإبلاغ عن الأخطاء ويجعل الويب بشكل عام أكثر أمانًا. ومع ذلك ، لا يتم إصلاح كل ثغرة أمنية في الوقت المناسب. تم الإبلاغ عن سلسلة حديثة من الأخطاء الخطيرة في Arm’s Mali GPU بواسطة Project Zero وتم إصلاحها من قبل الشركة المصنعة. ومع ذلك ، فإن بائعي الهواتف الذكية لم يطبقوا التصحيحات مطلقًا ، بما في ذلك Google نفسها. لذلك هذا محرج بعض الشيء.

بدأت القصة في يونيو 2022 عندما قدم الباحث في Project Zero Maddie Stone عرضًا تقديميًا عن ثغرات يوم الصفر – نقاط الضعف المعروفة التي لا يتوفر لها تصحيح. استخدمت المحادثة ثغرة أمنية تم تحديدها على أنها CVE-2021-39793 و Pixel 6 كمثال. سمح هذا الخلل للتطبيقات بالوصول إلى صفحات الذاكرة للقراءة فقط ، والتي يمكنها تسريب المعلومات الشخصية. بعد ذلك ، بدأ الباحث Jann Horn في إلقاء نظرة فاحصة على رمز GPU الخاص بـ ARM Mali ووجد خمسة ثغرات أخرى قد تسمح للمهاجم بتجاوز نموذج إذن Android والتحكم في النظام.

وبحسب ما ورد كانت بعض هذه المشكلات متاحة للبيع في منتديات القرصنة ، مما يجعلها ذات أهمية خاصة للتصحيح. أبلغ Project Zero عن المشكلات إلى ARM ، والتي أصدرت بعد ذلك تصحيحات التعليمات البرمجية المصدر للموردين لتنفيذها. انتظر Project Zero 30 يومًا أخرى للكشف عن الأخطاء ، وهو ما حدث في أغسطس ومنتصف سبتمبر 2022. عادةً ، ستكون هذه نهاية القصة ، لكن Project Zero يعود أحيانًا لمراجعة وظائف الإصلاحات. في هذه الحالة ، وجد الفريق “فجوة تصحيح”.

تعتقد Google أن مشكلات مالي التي اكتشفتها كانت متاحة بالفعل في سوق يوم الصفر.

على الرغم من أن ARM أصدرت التصحيحات في الصيف ، لم يقم البائعون بدمجها في تحديثات Android العادية. تؤثر المشكلات على العديد من أجهزة النظام على الرقاقة المزودة بوحدة معالجة رسومات Mali ، بما في ذلك هواتف Android من Samsung و Xiaomi و Oppo و Google. يتم الاحتفاظ بشرائح Snapdragon لأنها تستخدم وحدة معالجة الرسومات Adreno الخاصة بشركة Qualcomm. لذا فإن هواتف Samsung في أمريكا الشمالية آمنة ، لكن الهواتف التي تُباع دوليًا بشرائح Exynos معرضة للخطر.

ربما لم يؤثر ذلك على Google في السنوات الماضية ، لكن الشركة انتقلت من Qualcomm إلى رقائق Tensor المخصصة لهواتف Pixel في عام 2021. يستخدم Tensor وحدة معالجة رسومات Mali ، لذلك اكتشف فريق أمان Google عيوبًا لم يعالجها فريق Pixel لتحديثات البرامج العادية. ليست Google وحدها التي ارتكبت هذا الخطأ ، لكنها لا تزال غير جيدة. وتقول جوجل الآن إنه ستتم إضافة بقع مالي إلى هواتف Pixel “في الأسابيع المقبلة”. لم يقدم الموردون الآخرون جدولا زمنيا بعد.

نقرأ الآن:

You might also like