Google se na svém blogu blíže rozpovídal o zranitelnostech, které se týkají mobilních grafik Mali od ARM. Ty mimo Snapdragonů používají všichni ostatní výrobci čipsetů, a tak tato zranitelnost (celkem bylo objeveno pět bezpečnostních děr) ovlivňuje stovky milionů telefonů po celém světě. Grafiky Mali používá např. Samsung v čipsetech Exynos, Mediatek, Unisoc či čipsety Google Tensor, které pohání dvě poslední generace Pixelů. Chyba je známa pod označením CVE-2022-33917.
ARM chybu ve svých zdrojových kódech opravil již v červenci, takže svou část má firma splněnou. Jenže, nikdo z mobilních výrobců, ani Google, který připravuje hlavní část měsíčních bezpečnostních aktualizací, tuto opravu do tradičních měsíčních updatů dosud nezahrnul. Až po publicitě, kterou vyvolalo zveřejnění tohoto problému, se, zdá se, ledy rozhýbaly. Google již brzy vydá opravný patch pro Pixely, další výrobci by měli aktualizaci nabídnout v následujících týdnech, tedy zřejmě společně s prosincovým updatem zabezpečení.
Co se může stát?
Protože v současnosti chyba zatím není opravena, jsou všechna zařízení s grafikami Mali potenciálně v ohrožení. Potenciálně škodlivá aplikace totiž může využít bezpečnostní díru ke spuštění nativního kódu, díky kterému může získat plný přístup do systému telefonu, a tím pádem kompletně přeskočit systémová oprávnění. Aplikace tak dostane stejný přístup ke všemu, jako defaultní systémové aplikace.
Mezi ohrožené telefony patří spousta modelů od Xiaomi, Oppo či Samsungu (vyjma řady Galaxy S22, která používá grafický adaptér Xclipse 920), a také třeba Pixely od Googlu. Právě u nich byl bezpečnostní problém objeven, a záhy se zjistilo, že je chyba ve všech zdrojových kódech pro grafiku Mali. Telefony se Snapdragony a grafickými adaptéry Adreno žádný podobný problém nemají.