2022 年 11 月,谷歌揭露重大安全漏洞這影響了數百萬台 Android 智慧型手機,尤其是三星等配備「Mali」GPU 的智慧型手機。不幸的是,今天這個問題還沒有完全解決。
兩個缺陷,連鎖反應
此安全漏洞影響配備「Mali」圖形晶片的 Android 手機,例如聯發科的某些 SoC Dimensity、Google的 Tensor 或三星的 Exynos,現在已成為駭客利用的一系列漏洞的一部分。後者利用此缺陷以及影響三星網路瀏覽器的缺陷將用戶引導至惡意網站。
谷歌的威脅分析小組再次揭示了影響 Chrome 和三星網路瀏覽器的 0 天和 n 天漏洞的利用鏈。其中兩個漏洞與 Chrome 相關。三星的網頁瀏覽器使用 Chromium,該品牌裝置上安裝的應用程式與 Mali 圖形處理器漏洞結合使用。
這使得駭客能夠存取該系統,包括透過簡訊向位於阿拉伯聯合大公國的三星 Galaxy 裝置發送獨特的連結。通過點擊此鏈接,受害者在不知不覺中下載了「一個用 C++ 編寫的綜合 Android 間諜軟體套件,其中包括用於解密和捕獲來自各種聊天和瀏覽器應用程式的資料的庫。 »
部分解決的問題
2023 年初,Google修正了其 Chrome 瀏覽器及其 Pixel 智慧型手機的上述所有漏洞。就三星而言,三星於 2022 年 12 月為其網頁瀏覽器提供了安全補丁,以消除與 Chromium 相關的兩個缺陷。
透過修正該利用鏈中的一個環節,三星能夠阻止盜版者使用它。不過,Google指出,ARM 於 2022 年 1 月發布的用於修復 Mali GPU 漏洞 (CVE-2022-22706) 的安全性修補程式尚未被三星部署:
「最新的三星韌體沒有修復這個漏洞。此漏洞允許攻擊者存取系統。 »
在等待三星決定部署期間,我們邀請您定期查看可用的 Android 更新在您的裝置上,特別是如果它配備了帶有 Mali GPU 的 Exynos 晶片。請注意,配備 Exynos 晶片的歐洲 Galaxy S22 不受影響,因為板載 GPU 是 Xclipse 920。
來源 : Google標籤
