Şirketin Project Zero ekibi, sorunları yaz aylarında (GPU’ları tasarlayan) ARM’ye bildirdiğini söylüyor. ARM, sorunları temmuz ve ağustos aylarında çözdü. Ancak Project Zero, şimdi, Samsung, Xiaomi, Oppo ve Google’ın da dahil olduğu akıllı telefon üreticilerinin bu hafta başlarında güvenlik açıklarını düzeltmek için yama uygulamadıklarını iddia ediyor.
Araştırmacılar, haziran ve temmuz aylarında beş yeni sorun belirlediler ve bunları hemen ARM’ye bildirdiler. Project Zero’dan Ian Beer bir blog gönderisinde “Bu sorunlardan biri çekirdek belleğinin bozulmasına, biri fiziksel bellek adreslerinin kullanıcı alanına ifşa edilmesine ve geri kalan üçü de fiziksel bir sayfanın ‘sonradan kullanıma hazır’ hale gelmesine yol açıyor.” diye yazdı. “Bu, bir saldırganın fiziksel sayfaları ele geçirdikten sonra, sayfalar sisteme iade edilse bile, sonrasında sayfalara uzaktan müdahale etmeye devam edebilmesi anlamına geliyor.”
Android kullanıcıları dikkat! Hatalar düzeltilmedi
Beer, bir bilgisayar korsanının bir sisteme tam erişim elde etmesinin, Android’deki izinleri atlayabilecekleri ve bir kullanıcının verilerine “geniş erişim” elde edebilecekleri için mümkün olacağını kaydetti. Saldırgan bunu, çekirdeği yukarıda belirtilen fiziksel sayfaları sayfa tabloları olarak yeniden kullanmaya zorlayarak yapabilir.
Project Zero, ARM’in bu sorunları düzelttiğini söylemesinden üç ay sonra, ekibin tüm test cihazlarının hala kusurlara karşı savunmasız olduğunu buldu.
Bir yanıt bırakın