Arm, noto produttore di chip e tecnologie di semiconduttori, ha emesso il 2 ottobre un avviso urgente riguardante vulnerabilità critiche che colpiscono i driver GPU Mali, ampiamente utilizzati nei dispositivi mobili.
Le vulnerabilità, tra cui CVE-2023-4211, sono state scoperte dai ricercatori di Google TAG e Project Zero e potrebbero essere sfruttate in attacchi mirati.
Indice degli argomenti
Le vulnerabilità nei chip popolari sui nostri dispositivi mobili
Le vulnerabilità in questione sono legate all’accesso improprio alla memoria liberata e potrebbero portare alla compromissione dei dati degli utenti. Ciò significa che un utente non privilegiato (senza autenticazione particolare) potrebbe manipolare l’elaborazione della memoria della GPU per accedere a dati precedentemente eliminati. Questo potrebbe mettere a rischio la privacy e la sicurezza dei dati degli utenti.
La preoccupazione principale è che questi difetti potrebbero colpire numerosi dispositivi, soprattutto quelli più vecchi che utilizzano le architetture Mali di Arm. Le serie Midgard, Bifrost e Valhall, introdotte rispettivamente nel 2013, 2016 e 2019, sono state identificate come le più vulnerabili. Dispositivi popolari come il Samsung Galaxy S20/20FE, Xiaomi Redmi K30/K40, Motorola Edge 40 e OnePlus Nord 2, che utilizzano l’architettura Valhall (Mali-G77), restano quindi a rischio.
Inoltre, l’architettura GPU di quinta generazione di Arm, lanciata a maggio 2023, è presente in molti smartphone premium di fascia alta con chip Mali-G720 e Mali-G620. Questi dispositivi sono altrettanto suscettibili alle vulnerabilità.
L’aggiornamento c’è ma ancora non si vede
Sebbene sia stata rilasciata una correzione per i dispositivi interessati, la sfida principale è quanto velocemente i produttori di dispositivi riusciranno ad integrare questa correzione nei loro aggiornamenti. La catena di fornitura complessa dei diversi produttori potrebbe comportare ritardi nella distribuzione delle correzioni, mettendo a rischio un gran numero di dispositivi, ora che le vulnerabilità sono state rese note e scoperte.
Oltre alla CVE-2023-4211, Arm ha reso noto che esistono altre due vulnerabilità, CVE-2023-33200 e CVE-2023-34970, che colpiscono sia l’architettura Valhall che la GPU di quinta generazione di Arm. Questo amplia ulteriormente la portata del problema e sollecita una risposta rapida da parte dei produttori di dispositivi e degli sviluppatori di software per proteggere la sicurezza degli utenti.
Come mitigare i rischi
La scoperta di queste vulnerabilità nei driver GPU Mali rappresenta una seria minaccia per la sicurezza dei dati degli utenti di smartphone e dispositivi mobili.
Gli utenti sono incoraggiati a mantenere i loro dispositivi aggiornati e a prestare attenzione alle notifiche di aggiornamento dei produttori per garantire la massima sicurezza possibile.
