ARM Mali GPU’ları kullanan telefonlarda yeni bir güvenlik açığı Google tarafından birkaç gün önce bulundu. Özünde Google’ın Project Zero ekibi, Mali GPU kullanan MediaTek ve Exynos da dahil olmak üzere tüm akıllı telefonlarda çekirdekle ilgili ciddi bir kusur keşfetti.
GPU üreticisi ARM’nin marka tarafından sorundan haberdar edildiği ve ardından güvenlik açığının yamalandığı iddia edildi. Ancak, Google’ın kendisi de dahil olmak üzere başka hiçbir Android şirket, sorun için henüz herhangi bir güvenlik düzeltmesi yayınlamadı.
Project Zero ekibinin ARM’ye sundukları araştırma sonucunda yaklaşık beş farklı kusur bulundu. Project Zero’dan Ian Beer, bir blog gönderisinde “bu kusurlardan biri çekirdek belleğinin bozulmasına, birinin fiziksel bellek adreslerinin kullanıcı alanına sızdırılmasına ve geri kalan üçünün de fiziksel sayfanın boşta kullanım durumuna yol açtığını” belirtti. Bunlar, bir saldırgana fiziksel sayfaları sistem onları geri aldıktan sonra bile okuma ve yazma yeteneği veriyor.
ARM’in bu sorunları düzeltmesinden üç ay sonra, Project Zero, ekibin tüm test cihazlarının hâlâ kusurlu olduğunu keşfetti. Salı günü itibariyle, Android üreticilerinden gelen hiçbir “aşağı akış güvenlik bülteni” sorunları kabul etmedi. Beer, bir bilgisayar korsanının Android’in izin politikasını aşabilmesi ve bir kullanıcının verilerine “geniş erişim” sağlaması durumunda, tüm sistemin kontrolünü ele geçirmesinin kolay olacağına dikkat çekti.
