Theo TechRadar, hàng triệu thiết bị Android có nguy cơ bị tấn công mạng do quá trình vá lỗi chậm chạp và rườm rà trên GPU Mali của Arm.
Theo đó, trước đây các nhà nghiên cứu an ninh mạng từ nhóm Project Zero của Google đã phát hiện ra tổng cộng 5 lỗ hổng ảnh hưởng đến trình điều khiển phổ biến này.
Các lỗ hổng đã được nhóm lại theo hai mã định danh là CVE-2022-33917 và CVE-202236449, chúng có thể cho phép kẻ xấu có được vô số lựa chọn để tấn công thiết bị Android như truy cập các phần còn trống của bộ nhớ, cho đến ghi dữ liệu bên ngoài giới hạn bộ đệm. Tất cả lỗ hổng đều có điểm đánh giá mức độ nghiêm trọng là “medium”.
Các lỗ hổng đã được vá kể từ khi bị phát hiện, nhưng điều đáng nói là các nhà sản xuất phần cứng vẫn chưa áp dụng các bản vá này trên thiết bị đầu cuối của họ.
Không giống như Apple, là công ty duy nhất tạo ra cả phần cứng và phần mềm hoạt động song hành cùng nhau cho hệ sinh thái di động iPhone, Google không phải là công ty duy nhất tạo ra phần mềm và phần cứng cho Android. Bên cạnh Google với điện thoại Pixel, có một số lượng tương đối lớn các nhà sản xuất điện thoại thông minh đang xây dựng các thiết bị chạy Android, chẳng hạn như Samsung, LG, Oppo và nhiều nhà sản xuất khác.
Tất cả các công ty này đều có phiên bản Android được sửa đổi và cách tiếp cận phần cứng của riêng họ. Điều đó nói lên rằng, khi một lỗ hổng được phát hiện, mỗi nhà sản xuất thiết bị (OEM) cần áp dụng bản vá cho thiết bị của chính họ. Điều đó có thể mất thời gian vì các bản vá này đôi khi có thể xung đột với trình điều khiển của thiết bị hoặc các thành phần khác.
Và đó chính là vấn đề đang khiến hàng triệu thiết bị Android đứng trước nguy cơ bị tấn công bởi CVE-2022-33917 và CVE-202236449.
Các lỗ hổng ảnh hưởng đến trình điều khiển GPU Mali của Arm có tên mã là Valhall, Bifrost, Midgard và ảnh hưởng đến một danh sách dài các thiết bị, bao gồm Pixel 7, RealMe GT, Xiaomi 12 Pro, OnePlus 10R, Samsung Galaxy S10, Huawei P40 Pro và nhiều thiết bị khác, xem danh sách đầy đủ tại địa chỉ này.
Hiện tại, người dùng không thể làm gì khác ngoài việc đợi các nhà sản xuất của thiết bị triển khai áp dụng bản vá, nhưng điều đáng mừng là bản vá sẽ được giao cho các OEM sau vài tuần nữa.