Sul blog ufficiale di Google, il team di Project Zero ha fornito ulteriori informazioni sulla natura del problema e sui motivi per cui è urgente che si trovi una soluzione il prima possibile. I dispositivi che utilizzano la GPU Mali di ARM sono soggetti al principale difetto di sicurezza noto come CVE-2022-33917. Secondo la ricerca, i clienti di Google, Samsung, Xiaomi e OPPO che utilizzano smartphone con GPU Mali rischiano di essere colpiti da una grave falla di sicurezza che non è stata affrontata.
Durante i mesi di giugno e luglio, i ricercatori hanno scoperto un totale di cinque distinte vulnerabilità, una delle quali includeva la “corruzione del kernel”. Secondo le informazioni fornite da Project Zero, un altro problema potrebbe comportare la “trapelazione di posizioni di memoria fisica nello spazio utente”. I restanti tre problemi, su un totale di cinque, “porterebbero a uno stato fisico di utilizzo dopo la libertà della pagina”.
Per dirla in altro modo, Project Zero rende abbastanza ovvio che questi difetti consentirebbero a un attacco di ottenere l’intero
accesso al sistema di un telefono e aggirare il sistema di autorizzazioni di un dispositivo Android, consentendo all’attaccante di accedere a maggiori dati utente.Secondo Project Zero, queste preoccupazioni sono state sollevate con ARM e la società ha implementato una correzione molto rapidamente durante i mesi di luglio e agosto per risolvere questo problema critico. Tuttavia, dopo aver effettuato ulteriori test per valutare l’efficacia della patch, si è scoperto che questo problema di sicurezza esiste ancora anche con i presunti rimedi. Questa è stata una sorpresa poiché la patch avrebbe dovuto risolverlo.
L’obiettivo di Google è ridurre il “gap di patch” che esiste tra le aziende e la loro capacità di identificare e correggere le vulnerabilità. L’effetto finale di ciò sarebbe che le aziende producano le correzioni appropriate e le distribuiscano rapidamente alle persone che ne sono interessate, risolvendo così eventuali problemi importanti che si stanno verificando ora.