World

Kerentanan Zero-Day Lama Tetap Belum Ditambal di Samsung, Ponsel Google


Situs ini dapat memperoleh komisi afiliasi dari tautan di halaman ini. Syarat Penggunaan.

Tim Project Zero Google berada di garis depan keamanan digital, menganalisis kode, melaporkan bug, dan secara umum menjadikan internet lebih aman. Namun, tidak semua kerentanan diperbaiki tepat waktu. Sejumlah kelemahan serius baru-baru ini pada GPU Mali Arm dilaporkan oleh Project Zero dan diperbaiki oleh pabrikan. Namun, vendor smartphone tidak pernah mengimplementasikan tambalan tersebut, di antaranya Google sendiri. Jadi, itu sedikit memalukan.

Ceritanya dimulai pada Juni 2022 ketika peneliti Project Zero Maddie Stone memberikan presentasi tentang eksploitasi zero-day — kerentanan yang diketahui yang tidak tersedia tambalannya. Pembicaraan tersebut menggunakan kerentanan yang diidentifikasi sebagai CVE-2021-39793 dan Pixel 6 sebagai contoh. Cacat ini memungkinkan aplikasi mengakses halaman memori hanya-baca, yang dapat membocorkan data pribadi. Setelah ini, peneliti Jann Horn mulai melihat lebih dekat pada kode GPU ARM Mali, menemukan lima kerentanan lagi yang memungkinkan penyerang melewati model izin Android dan mengambil kendali sistem.

Beberapa masalah ini diduga tersedia untuk dijual di forum peretasan, menjadikannya sangat penting untuk ditambal. Project Zero melaporkan masalah tersebut ke ARM, yang ditindaklanjuti dengan tambalan kode sumber untuk diterapkan oleh vendor. Project Zero menunggu 30 hari lagi untuk mengungkapkan kekurangannya, yang terjadi pada Agustus dan pertengahan September 2022. Biasanya, ini akan menjadi akhir cerita, tetapi Project Zero kadang-kadang kembali untuk menilai fungsionalitas perbaikan. Dalam hal ini, tim menemukan “celah tambalan”.

Google yakin masalah Mali yang ditemukannya sudah tersedia di pasar zero-day.

Meskipun ARM merilis tambalan selama musim panas, vendor belum mengintegrasikannya ke dalam pembaruan Android reguler mereka. Masalah tersebut memengaruhi banyak perangkat yang menjalankan system-on-a-chip yang menampilkan GPU Mali, termasuk ponsel Android dari Samsung, Xiaomi, Oppo, dan Google. Chip Snapdragon terhindar karena menggunakan GPU Adreno Qualcomm sendiri. Jadi, ponsel Samsung di Amerika Utara aman, tetapi yang dijual secara internasional dengan chip Exynos berisiko.

Dalam beberapa tahun terakhir, ini mungkin tidak memengaruhi Google, tetapi perusahaan beralih dari Qualcomm ke chip Tensor khusus untuk ponsel Pixel pada tahun 2021. Tensor menggunakan GPU Mali, sehingga tim keamanan Google menemukan kekurangan yang gagal ditambahkan oleh tim Pixel ke standar reguler. pembaruan perangkat lunak. Google tidak sendirian dalam membuat kesalahan ini, tetapi tampilannya tetap tidak bagus. Google sekarang mengatakan bahwa tambalan Mali akan ditambahkan ke ponsel Pixel “dalam beberapa minggu mendatang”. Vendor lain belum menawarkan jadwal.

Sekarang baca:



Artikel ini telah tayang pertama kali di situs www.extremetech.com

Related Articles

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *

Back to top button