Một lỗ hổng bảo mật lớn của GPU Mali có thể ảnh hưởng đến hàng triệu thiết bị Samsung Galaxy chạy Exynos đã được xác nhận vào tháng 11 năm ngoái. Kể từ đó, lỗ hổng này trở thành một phần của một chuỗi khai thác mà tin tặc đã dùng để dẫn người dùng sử dụng Samsung Internet đến các trang mạng độc hại.
Mặc dù chuỗi khai thác đó đã bị phá vỡ, lỗ hổng bảo mật này của GPU Mali tiếp tục tồn tại trên hầu hết mọi thiết bị Samsung Galaxy chạy Exynos, ngoại trừ dòng Galaxy S22 và GPU Xclipse 920 bên trong.
Mới đây, Nhóm Phân tích Mối đe dọa của Google đã tiết lộ chuỗi khai thác này. Vào tháng 12 năm 2022, họ đã phát hiện ra chuỗi này dựa trên nhiều lỗ hổng zero-day và n-day và nhắm mục tiêu vào trình duyệt Google Chrome và Samsung Internet.
Cụ thể hơn, hai lỗ hổng trong chuỗi liên quan đến Google Chromium. Và vì Samsung Internet sử dụng Google Chromium, ứng dụng này đã được sử dụng như một vector tấn công kết hợp với lỗ hổng trong trình điều khiển nhân GPU Mali được báo cáo vào năm ngoái. Kết quả cuối cùng là quyền truy cập hệ thống được cấp cho kẻ tấn công.
Thông qua chuỗi khai thác này, tin tặc gửi liên kết một lần qua SMS đến các thiết bị Samsung Galaxy tại Các Tiểu vương quốc Ả Rập Thống nhất. Các liên kết này sẽ chuyển hướng người dùng đến một trang có “bộ phần mềm gián điệp đầy đủ tính năng cho Android được viết bằng C++ bao gồm các thư viện để giải mã và thu thập dữ liệu từ các ứng dụng trò chuyện và trình duyệt khác nhau.”
Chuỗi khai thác đã bị đứt, nhưng Samsung tiếp tục phớt lờ vấn đề của GPU Mali.
Tình hình hiện tại như thế nào? Google đã vá hai lỗ hổng của Chromium được đề cập và dòng điện thoại Pixel của họ vào đầu năm 2023. Samsung cũng đã vá trình duyệt Internet của họ vào tháng 12 năm 2022. Gã khổng lồ công nghệ Hàn Quốc đã giải quyết hai sai lầm liên quan đến Chromium (CVE-2022-4262 và CVE-2022-3038) thông qua một bản cập nhật ứng dụng Internet.
Samsung đã phá vỡ chuỗi khai thác tận dụng ứng dụng Internet và nhân GPU Mali vào tháng 12. Và có vẻ như các cuộc tấn công vào người dùng ở Các Tiểu vương quốc Ả Rập Thống nhất đã dừng lại. Tuy nhiên, vẫn còn một vấn đề tồn tại.
Chuỗi khai thác được Google mô tả đã được giải quyết trong một bản cập nhật Samsung Internet vào tháng 12. Tuy nhiên, một liên kết trong chuỗi – bao gồm lỗ hổng bảo mật lớn của GPU Mali (CVE-2022-22706) – vẫn chưa được vá trên các thiết bị Samsung Galaxy chạy Exynos có GPU Mali mặc dù ARM đã cung cấp bản vá lỗ hổng bảo mật này vào tháng 1 năm 2022.
Cho đến khi Samsung khắc phục vấn đề này thông qua một bản cập nhật bảo mật phần lõi, phần lớn các thiết bị Galaxy chạy Exynos vẫn dễ bị khai thác thông qua GPU Mali.
