Quand Google ne patche pas les failles… découvertes par Google

L’affaire serait comique si elle ne démontrait pas les lenteurs, voire les réticences, des éditeurs et fournisseurs à patcher leurs systèmes après la découverte d’une faille. Ici, il est question d’une vulnérabilité du driver du GPU Mali, qu’ARM a corrigé en août sans que les constructeurs de terminaux utilisant ce GPU ne réagissent depuis.

 

Lors d’une présentation en juin 2022, une chercheuse du projet Zero de Google s’est penchée sur une faille affectant le pilote GPU ARM Mali. La vulnérabilité en question n’était pas de première jeunesse, mais elle servait à Maddie Stone, ladite chercheuse, à illustrer son propos quant à la propension des acteurs malveillants à retravailler des failles déjà corrigées afin de contourner les patchs. Ce qui représente la moitié des 0days observées par Project Zero au premier semestre 2022.

Un de ses collègues s’est par la suite penché sur ce pilote, découvrant cinq failles supplémentaires. L’une entraîne une corruption de la mémoire du noyau, une autre la divulgation d'adresses de mémoire physique à l'espace utilisateur et les trois dernières permettent de continuer à lire et à écrire des pages physiques après qu'elles aient été renvoyées au système.

Des patchs qui n’arrivent jamais

En résumé, leur combinaison permet, par injection de code, d’obtenir un accès complet au kernel en contournant les autorisations Android et, ainsi, d’accéder aux données de l’utilisateur. Heureusement, une fois prévenu par Project Zero, ARM a immédiatement alerté ses partenaires du problème de sécurité et a, dans le mois, corrigé les failles. Nous étions alors août.

Mais voilà, pour arriver jusqu’au terminal de l’utilisateur final, les correctifs passent par les constructeurs. Lesquels ne se sont visiblement pas pressés. Dans leur post de blog, les chercheurs de Project Zero indiquent avoir « découvert que tous nos appareils de test qui utilisaient Mali sont toujours vulnérables à ces problèmes. CVE-2022-36449 n'est mentionné dans aucun bulletin de sécurité en aval ».

Ou, en d’autres termes, aucun des constructeurs dont l’équipe de Google testait les smartphones n’avait diffusé le correctif. Ce qui inclus Samsung, Xiaomi, Oppo ou encore Pixel… Pixel qui est une marque de Google et dont les Pixel 6 ont été conçus et commercialisés par Google. Google encore, dont le Project Zero est une branche.