Há alguns meses atrás, uma grave falha de segurança foi descoberta pelo "Project Zero" do Google, equipe de analistas de segurança. No entanto, nenhuma empresa, incluindo o próprio Google, lançou um patch de segurança. Os problemas já foram corrigidos pela ARM em julho e agosto.
Ian Beer, do Project Zero, revelou em um postagem de blog (eis a íntegra, em inglês) que uma das vulnerabilidades acabou levando à falha da memória do kernel. Uma delas fez com que o endereço da memória física fosse mostrado para o espaço do usuário e os outros três "levaram a um cenário de uso após a liberação da página física".
Beer afirmou que um hacker pode conseguir acesso completo ao dispositivo contornando a arquitetura de permissões do Android e obtendo "amplo acesso" aos dados de um usuário. O invasor pode fazer isso forçando o kernel a usar as mesmas páginas físicas como tabelas de páginas que já foram definidas.
As cinco vulnerabilidades foram relatadas à ARM em junho e julho de 2022. A ARM resolveu os problemas em julho e agosto de 2022, postando a fonte do driver corrigida em seu site de desenvolvedor público.
Três meses depois que a ARM corrigiu as falhas, os dispositivos de teste do Project Zero ainda estavam vulneráveis. A postagem também observa que eles entraram em contato com o Google, Oppo, Samsung e Xiaomi sobre o atraso na solução. Alguns smartphones da Samsung supostamente não são afetados devido aos processadores Snapdragon.
O Google diz que a correção fornecida pela ARM está atualmente em teste para o Android e será entregue nas próximas semanas. A gigante da tecnologia acrescentou que as fabricantes parceiras de Android serão obrigadas a fazer correções de segurança para cumprir os futuros requisitos. Em conclusão, o Project Zero aconselha as empresas a corrigir o problema o mais cedo possível.