Millones de dispositivos vulnerables a los problemas de los controladores de la GPU Mali
Last Updated on noviembre 28, 2022 by Daniel Cepeda
Google ha advertido que millones de dispositivos Android podrían ser vulnerables a ataques.
Los dispositivos con GPUs Arm Mali de Google, Samsung, Xiaomi, Oppo, así como otros fabricantes de teléfonos están actualmente afectados y están a la espera de que la solución llegue a los usuarios.
Los expertos de Google Project Zero dan la voz de alarma: cinco vulnerabilidades en el controlador de la GPU ARM Mali siguen sin parchear en varios dispositivos a la vez, a pesar de que el fabricante de chips publicó parches hace meses.
Como resultado, millones de dispositivos Android podrían ser vulnerables a posibles ataques.
Según los expertos, los problemas afectan a dispositivos de Google, Samsung, Xiaomi, Oppo y otros fabricantes de smartphones que aún están pendientes de parches. En su informe, los expertos subrayan que este tipo de retrasos en los parches perjudican regularmente a la cadena de suministro de Android, ya que el firmware actualizado suele tardar varios meses en llegar a los dispositivos de los usuarios finales.
Las mencionadas vulnerabilidades en el controlador del procesador gráfico ARM Mali se descubrieron en el verano de 2022.
Los problemas están siendo rastreados bajo CVE-2022-33917 y CVE-2022-36449 (un ID colectivo para varios fallos a la vez).
La vulnerabilidad CVE-2022-33917 permite a un usuario sin privilegios realizar operaciones de procesamiento no válidas para obtener acceso a particiones de memoria libres. La vulnerabilidad afecta a los controladores del kernel de la GPU Arm Mali desde Valhall r29p0 hasta r38p0.
El segundo fallo, CVE-2022-36449, está relacionado con varios problemas a la vez, que permiten a un usuario sin privilegios acceder a la memoria liberada, escribir fuera del búfer y exponer información de mapeo de memoria. La vulnerabilidad afecta a los controladores del kernel de la GPU Arm Mali de Midgard r4p0 a r32p0; Bifrost de r0p0 a r38p0 y de r39p0 a r38p1; y Valhall de r19p0 a r38p0 y de r39p0 a r38p1.
El propio equipo del Proyecto Cero registra estos problemas como 2325, 2327, 2331, 2333 y 2334, describe detalladamente los detalles técnicos de los fallos y adjunta a sus informes código que demuestra las vulnerabilidades. Señala que, a pesar de ser de gravedad media, estas vulnerabilidades no son difíciles de explotar y afectan a un gran número de dispositivos Android.
Por ejemplo, los controladores Valhall se utilizan en los chips Mali G710, G610 y G510 instalados en el Google Pixel 7, Asus ROG Phone 6, Redmi Note 11 y 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro y Reno 8 Pro, Motorola Edge y OnePlus 10R.
Los controladores Bifrost se utilizan en los chips Mali G76, G72 y G52 más antiguos (año de lanzamiento 2018) utilizados por dispositivos como el Samsung Galaxy S10, S9, A51 y A71, Redmi Note 10, Huawei P30 y P40 Pro, Honor View 20, Motorola Moto G60S y Realme 7.
A su vez, los controladores Midgard se utilizan en los chips de la serie Mali T800 y T700, aún más antiguos (año de lanzamiento 2016), que se encuentran en los Samsung Galaxy S7 y Note 7, Sony Xperia XA1, Huawei Mate 8, Nokia 3.1, LG X y Redmi Note 4.
Lamentablemente, los usuarios no podrán protegerse contra estas vulnerabilidades hasta que el proveedor les proporcione un parche.
Y lo que es peor, es muy poco probable que los modelos de smartphone más antiguos que utilizan los controladores Midgard reciban algún parche, por lo que deberían ser reemplazados por completo.
Los controladores de la GPU Mali son utilizados por los circuitos del sistema en chip de proveedores como MediaTek, HiSilicon Kirin y Exyno, que impulsan la mayoría de los dispositivos Android del mercado.
Por ahora, la corrección de Arm no ha llegado a los socios OEM y se está probando en dispositivos Android y Pixel. Dentro de unas semanas, Android pondrá la corrección a disposición de sus socios, que serán los encargados de aplicarla.
Anteriormente
