Şirketin Project Zero takımı, sıkıntıları yaz aylarında (GPU’ları tasarlayan) ARM’ye bildirdiğini söylüyor. ARM, problemleri temmuz ve ağustos aylarında çözdü. Lakin Project Zero, artık, Samsung, Xiaomi, Oppo ve Google’ın da dahil olduğu akıllı telefon üreticilerinin bu hafta başlarında güvenlik açıklarını düzeltmek için yama uygulamadıklarını sav ediyor.
Araştırmacılar, haziran ve temmuz aylarında beş yeni sorun belirlediler ve bunları çabucak ARM’ye bildirdiler. Project Zero’dan Ian Beer bir blog gönderisinde “Bu sıkıntılardan biri çekirdek belleğinin bozulmasına, biri fizikî bellek adreslerinin kullanıcı alanına ifşa edilmesine ve geri kalan üçü de fizikî bir sayfanın ‘sonradan kullanıma hazır’ hale gelmesine yol açıyor.” diye yazdı. “Bu, bir saldırganın fizikî sayfaları ele geçirdikten sonra, sayfalar sisteme iade edilse bile, sonrasında sayfalara uzaktan müdahale etmeye devam edebilmesi manasına geliyor.”
Android kullanıcıları dikkat! Kusurlar düzeltilmedi
Beer, bir bilgisayar korsanının bir sisteme tam erişim elde etmesinin, Android’deki müsaadeleri atlayabilecekleri ve bir kullanıcının datalarına “geniş erişim” elde edebilecekleri için mümkün olacağını kaydetti. Saldırgan bunu, çekirdeği üstte belirtilen fizikî sayfaları sayfa tabloları olarak tekrar kullanmaya zorlayarak yapabilir.
Project Zero, ARM’in bu sıkıntıları düzelttiğini söylemesinden üç ay sonra, grubun tüm test aygıtlarının hala kusurlara karşı savunmasız olduğunu buldu.
