Des correctifs sont disponibles depuis longtemps pour cinq vulnérabilités dans plusieurs pilotes de GPU Mali. Mais ils n’atteignent tout simplement pas l’utilisateur.

Que ce soit Samsung, Xiaomi ou Motorola – des millions de smartphones Android avec un GPU malien sont vulnérables depuis des mois. Cela montre une fois de plus à quel point les lacunes de la chaîne d’approvisionnement logicielle d’Android sont graves. Car le fabricant de puces a depuis longtemps fourni un patch. Malheureusement, cela n’atteint pas l’utilisateur.

La chaîne d’approvisionnement logicielle défectueuse des appareils Android

Des millions d’appareils Android restent vulnérables à un total de cinq vulnérabilités de pilote GPU Mali mois après que le fabricant de puces a déployé un correctif. En plus de certains smartphones pixel de Google, d’innombrables appareils de Samsung, Xiaomi, Oppo, Asus et de nombreux autres fabricants sont concernés.

Le correctif étant disponible depuis longtemps, il appartient finalement aux fabricants de le diffuser sur leurs appareils via une mise à jour. Un rapport du Project Zero de Google clarifie les problèmes liés à la chaîne d’approvisionnement logicielle des appareils Android utilisant les pilotes Mali GPU.

Car ce n’est pas un cas isolé. Le fait que la distribution des mises à jour du firmware prenne plusieurs mois est plus la règle que l’exception dans cet écosystème.

Après tout, les fabricants doivent tester leurs appareils de manière approfondie avec les corrections soumises avant de les remettre au client final. Sinon, il y a beaucoup de cris lorsqu’une mise à jour censée tout améliorer détruit une fois de plus les fonctions de base.

Trois générations de pilotes du GPU Mali sont concernées

Comme le rapporte BleepingComputer, Project Zero a découvert les vulnérabilités répertoriées sous CVE-2022-33917 et CVE-2022-36449 en juin 2022. L’équipe dispose également de détails techniques sur les cinq vulnérabilités (2325, 2327, 2331, 2333, 2334) collectées.

Ils permettent à un utilisateur non privilégié d’abuser du pilote Mali GPU pour un accès régulier non autorisé à la mémoire. Dans certains cas, même des accès en écriture en dehors des limites de la mémoire tampon et la récupération des détails des allocations de mémoire sont possibles.

Bien que la gravité des vulnérabilités ne soit que « moyen”, mais un nombre énorme d’appareils sont menacés. Parce qu’un GPU malien est utilisé dans les SoC de nombreux fabricants de puces, notamment MediaTek, HiSilicon et Exynos de Samsung. Fondamentalement, trois générations de pilotes sont concernées par les problèmes.

Le pilote Valhall est utilisé pour les nouvelles versions du GPU Mali des séries G710, G610 et G510. Le pilote Bifrost, en revanche, pour les séries G76, G72 et G52 à partir de 2018. Mais le pilote Midgard encore plus ancien pour les Mali T800 et T700 à partir de 2016 n’a pas non plus été épargné.

Par conséquent, de nombreux smartphones populaires de Google, OnePlus, Oppo, Asus, Sony, Nokia, Motorola, Xiaomi, Samsung, Honor, Huawei et RealMe sont sensibles aux vulnérabilités mentionnées. Et surtout avec les appareils plus anciens, on peut se demander s’ils recevront un jour une mise à jour.