Samsung ha mantenuto per oltre un anno una grave vulnerabilità zero-day nelle GPU Mali di ARM presenti in milioni di dispositivi della serie Galaxy.
Il Threat Analysis Group (TAG) di Google ha rivelato mercoledì 29 marzo che una falla di sicurezza critica scoperta più di un anno fa ma non ancora patchata da Samsung. La vulnerabilità consente ad hacker di far trapelare informazioni attraverso il driver della GPU ARM Mali, presente in diversi chip utilizzati dal brand sudcoreano.
ARM ha rilasciato una patch di sicurezza per il kernel della GPU Mali nel gennaio 2022. I produttori di smartpjhone, tablet e altri dispositivi avevano circa otto mesi per fornire una correzione per la vulnerabilità zero-day prima che venisse alla luce, ma sembra che la Samsung non abbia apportato le dovute modifiche ai suoi dispositivi Galaxy.
Identificata con il numero CVE-2022-22706, la falla di sicurezza è stata scoperta dai ricercatori di cybersicurezza del Project Zero di Google. All’epoca, si è scoperto che la vulnerabilità era attivamente sfruttata dagli hacker, il che ha reso più urgenti le patch per il driver del kernel per le GPU Mali.
È importante notare che tutti i telefoni e i tablet con chip Samsung o MediaTek dispongono di una GPU Mali, ad eccezione di Galaxy S22, Galaxy S22 Plus e Galaxy S22 Ultra, che utilizzano la GPU Xclipse 920 basata sull’architettura RDNA 2 di AMD. I dispositivi con hardware Qualcomm, come il Galaxy S23, non sono a rischio.
TAG afferma che una catena di exploit è stata identificata nel dicembre dello scorso anno e comprendeva librerie per la decodifica e l’acquisizione di dati da varie app di messaggistica e navigazione web. Samsung Internet era vulnerabile a questi attacchi, ma il produttore ha corretto le falle con un aggiornamento alla versione 19.0.6 (o più recente).
Il problema è che la falla di sicurezza esiste ancora a livello di sistema, quindi le GPU ARM Mali di milioni di smartphone Galaxy sono ancora vulnerabili agli attacchi al loro kernel. Gli hacker potrebbero sviluppare nuovi modi per sfruttare la falla di sicurezza hardware senza affidarsi a Samsung Internet.
La falla di sicurezza consente il furto di file
Secondo gli esperti di TAG, una catena di sfruttamento della falla di sicurezza è stata identificata nel dicembre 2022. Uno spyware scritto in C++, che includeva librerie per decriptare e catturare dati da varie app di messaggistica e navigazione web, poteva garantire agli aggressori l’accesso al sistema.
