Команда Google Project Zero, яка відповідає за інформаційну безпеку, повідомила про критичні проблеми у смартфонах Google, Samsung, Xiaomi та інших брендах. За їх словами, справа в уразливості CVE-2022-33917, яка дозволяє отримати віддалений доступ до фото, відео та інших файлів на Android-смартфонах з GPU ARM Mali. Але, що гірше, вендори не поспішають виправляти виявлену проблему.
Фахівці Project Zero встановили, що драйвера відеоприскорювача ARM Mali дають змогу перезаписувати ділянки пам’яті смартфона, доступні лише для читання. Також у Project Zero виявили ще п’ять уразливостей цього драйвера. На основі знайдених «дір» зловмисник може отримати доступ до всіх можливостей Android, обійшовши контроль за дозволами ОС. Наприклад, можна «без попиту» ОС встановити програму, яка буде відправляти файли користувача на сервер зловмисника.
Експерти відшукали ці проблеми ще влітку 2022 року і тоді ж повідомили ARM про всі знайдені вразливості. Вже у серпні компанія випустила оновлені та безпечні драйвера. В надії протестувати виправлення інженери спробували зламати смартфони Google, Samsung, Xiaomi, OPPO. Однак оновлених драйверів на цих пристроях не було.
У Project Zero зробили висновок, що в цій ситуації неквапливість вендорів небезпечна нарівні зі знайденою вразливістю. У компанії порекомендували всім виробникам випустити патч безпеки на всі смартфони з Mali якнайшвидше.