I tecnici del team di Google Project Zero hanno scoperto a luglio 2022 una serie di vulnerabilità nel driver kernel utilizzato per la gestione delle GPU ARM Mali nei dispositivi basati sul sistema operativo Android. Le falle di sicurezza in questione sono state complessivamente inquadrate con gli identificativi CVE-2022-33917 e CVE-2022-36449: permettono di guadagnare l’accesso alle varie aree della memoria, effettuare operazioni di scrittura al di fuori dei limiti e acquisire informazioni sulla mappatura della memoria.
I problemi di sicurezza fatti emergere dagli esperti di Project Zero interessano vari driver per le GPU Mali. I driver Valhall sono ad esempio utilizzati nei chip Mali G710, G610 e G510 che si trovano nei Google Pixel 7, Asus ROG Phone 6, Redmi Note 11 e 12, Honor 70 Pro, RealMe GT, Xiaomi 12 Pro, Oppo Find X5 Pro e Reno 8 Pro, Motorola Edge e OnePlus 10R.
I driver Bifrost sono utilizzati nei più vecchi Mali G76, G72 e G52, risalenti al 2018, che equipaggiano dispositivi come i Samsung Galaxy S10, S9, A51 e A71, Redmi Note 10, Huawei P30 e P40 Pro, Honor View 20, Motorola Moto G60S e Realme 7.
Ancora, i driver Midgard, anch’essi interessati dalla problematica, sono utilizzati nei chip ancora più vecchi come i Mali T800 e T700 che mettono a disposizione le funzionalità grafiche negli smartphone Samsung Galaxy S7 e Note 7, Sony Xperia X XA1, Huawei Mate 8, Nokia 3.1, LG X e Redmi Note 4.
Non c’è nulla che gli utenti possano fare per mitigare queste falle, a parte aspettare che il fornitore distribuisca le patch correttive per il proprio dispositivo e tenere d’occhio le potenziali minacce.
È estremamente improbabile che i modelli più vecchi dei dispositivi Android ricevano gli aggiornamenti.
Al momento, la correzione messa a punto da ARM non ha ancora raggiunto i partner OEM ed è in fase di test per i dispositivi Android. Tra qualche settimana Google consegnerà la patch, a sua volta, a tutte le aziende partner responsabili dell’implementazione della correzione.
Project Zero parla ancora una volta del patch gap che verosimilmente verrà a crearsi: tanti utenti possessori di dispositivi Android potrebbero rimanere esclusi dall’installazione di patch “delicate” come quelle relative al supporto delle GPU Mali. Utilizzando un’app gratuita come DevCheck è possibile conoscere le caratteristiche dello smartphone Android ed estrarre i dati sulla GPU in uso.