Seperangkat lima kerentanan yang dapat dieksploitasi dalam driver GPU Mali Arm tetap tidak diperbaiki beberapa bulan setelah pembuat chip menambalnya, membuat jutaan perangkat Android berpotensi terkena serangan.
Perangkat dari Google, Samsung, Xiaomi, Oppo, serta pembuat ponsel lainnya saat ini terpengaruh dan menunggu perbaikan untuk menjangkau pengguna.
Sebuah laporan yang diterbitkan oleh Proyek Nol Google tim menyoroti “kesenjangan tambalan” yang mengganggu rantai pasokan di Android, karena biasanya diperlukan waktu beberapa bulan agar pembaruan keamanan firmware mengalir ke hilir ke perangkat yang terpengaruh.
Mitra Original Equipment Maker (OEM) memerlukan waktu untuk menguji perbaikan dan menerapkannya ke perangkat mereka, sebuah proses yang memperpanjang waktu untuk menjangkau perangkat pengguna akhir.
Kelemahan dan dampak
Project Zero menemukan kerentanan pada Juni 2022. Mereka dilacak sebagai CVE-2022-33917 dan CVE-2022-36449 (pengidentifikasi kolektif untuk beberapa masalah keamanan).
CVE-2022-33917 memungkinkan pengguna yang tidak memiliki hak istimewa untuk melakukan operasi pemrosesan GPU yang tidak benar untuk mendapatkan akses ke bagian memori bebas. Kerentanan berdampak pada driver kernel GPU Arm Mali Valhall r29p0 hingga r38p0.
Pengidentifikasi kedua, CVE-2022-36449, terdiri dari masalah yang memungkinkan pengguna yang tidak memiliki hak istimewa untuk mendapatkan akses ke memori yang dibebaskan, menulis di luar batas buffer, dan mengungkapkan detail pemetaan memori.
Ini memengaruhi driver kernel GPU Arm Mali Midgard r4p0 hingga r32p0, Bifrost r0p0 hingga r38p0 dan r39p0 sebelum r38p1, dan Valhall r19p0 hingga r38p0 dan r39p0 sebelum r38p1.
Project Zero melacak masalah ini sebagai 2325, 2327, 2331, 2333dan 2334 dan telah mengungkapkan detail teknis untuk masing-masingnya, bersama dengan kode demo.
Meskipun skor keparahan masalahnya sedang, namun dapat dieksploitasi dan berdampak pada sejumlah besar perangkat Android.
Driver Valhall digunakan dalam chip Mali G710, G610, dan G510 yang ditemukan di dalam Google Pixel 7, Asus ROG Phone 6, Redmi Note 11 dan 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro dan Reno 8 Pro , Motorola Edge, dan OnePlus 10R.
Driver bifrost digunakan pada chip Mali G76, G72, dan G52 yang lebih lama (2018) yang digunakan oleh Samsung Galaxy S10, S9, A51 dan A71, Redmi Note 10, Huawei P30 dan P40 Pro, Honor View 20, Motorola Moto G60S, dan Realme 7.
Driver Midgard digunakan pada chip seri Mali T800 dan T700 yang lebih tua (2016), terutama ditemukan di dalam Samsung Galaxy S7 dan Note 7, Sony Xperia X XA1, Huawei Mate 8, Nokia 3.1, LG X, dan Redmi Note 4.
Tidak ada yang dapat dilakukan pengguna untuk mengurangi kekurangan ini selain menunggu vendor menyediakan tambalan yang sesuai dan mengawasi potensi ancaman.
Model lama yang menggunakan driver Midgard sangat tidak mungkin menerima tambalan perbaikan, jadi tambalan ini harus diganti sama sekali.
Driver GPU Mali digunakan oleh sirkuit sistem-on-a-chip dari vendor seperti MediaTek, HiSilicon Kirin, dan Exyno, yang menggerakkan sebagian besar perangkat Android di pasaran.
Saat ini, perbaikan dari Arm belum sampai ke mitra OEM dan sedang diuji untuk perangkat Android dan Pixel. Dalam beberapa minggu, Android akan mengirimkan tambalan ke mitranya, yang bertanggung jawab untuk mengimplementasikan perbaikan.
