La división Project Zero de Google determinó que la división de teléfonos Pixel no ha corregido vulnerabilidades en Android.
Android suele ser un dolor de cabeza para Google por varias razones, y la seguridad es una de ellas. Por años, los esfuerzos para dinamizar la actualización de parches han dado sus frutos, pero aún hay forados en los ritmos. Sin embargo, resulta curioso que Google haya encontrado fallas en la corrección de errores dentro de una marca icónica: la propia Pixel.
De acuerdo con la última publicación de Project Zero, el equipo de desarrollo de Pixel no ha resuelto un conflicto en los controladores GPU ARM, una brecha que permite que un atacante pueda tener derechos de escritura en teléfonos de Google y otras firmas.
“Un atacante con ejecución de código nativo en un contexto de aplicación puede obtener acceso completo al sistema, sin pasar por el modelo de permisos de Android y teniendo amplio acceso a los datos del usuario”, señala Jann Horn, investigador de Project Zero.
Qualcomm a salvo, pero el resto no
Esta GPU ARM afectada abarca tres generaciones previas de arquitecturas, y se concentran en marcas como Exynos de Samsung, Tensor de Google y versiones de MediaTek. En este caso, Qualcomm usa Adreno para la parte gráfica, por lo que se mantiene segura frente al resto.
Bajo esa perspectiva, esta vulnerabilidad afecta a millones de smartphones en el mundo. De acuerdo con Engadget, Google señaló que “la solución proporcionada por Arm se está probando actualmente para dispositivos Android y Pixel y se entregará en las próximas semanas. Se requerirá que los socios OEM de Android tomen el parche para cumplir con futuros requisitos de SPL".
ARM ha sido notificada
La división Project Zero señaló que envió esta evaluación a ARM entre junio y julio del 2022 esperando una corrección a la vulnerabilidad, la misma que fue resuelta en agosto. Sin embargo, los investigadores constataron con pruebas de equipos que Google y otras OEM no han aplicado esa solución en teléfonos de usuario final implementados con el integrado gráfico Mali.
“Así como se recomienda a los usuarios aplicar parches lo más rápido posible una vez que esté disponible una versión que contenga actualizaciones de seguridad, lo mismo se aplica a los proveedores y empresas”, destaca Project Zero. “Podría decirse que minimizar la ‘brecha de parches’ como proveedor en estos escenarios es más importante, ya que los usuarios finales (u otros proveedores posteriores) están bloqueando esta acción antes de que puedan recibir los beneficios de seguridad del parche”.
Comparte esta noticia