Google Project Zero a découvert une faille de sécurité à haut risque dans les GPU Qualcomm Adreno. Comme le fabricant de puces n'a pas pu développer un correctif approprié dans les 90 jours suivant la réception de la notification en privé, Google a maintenant rendu publics les détails, suivant une pratique adoptée par de nombreux acteurs du secteur pour inciter les entreprises responsables à agir rapidement et efficacement.
Les détails techniques de la vulnérabilité peuvent être lus en suivant le lien SOURCE ci-dessous, mais soulignons tout de suite qu'il s'agit d'une lecture très technique ; le résumé extrême du problème est qu'une erreur dans le système de gestion du partage de la cartographie de la mémoire peut accorder à un processus enfant des autorisations de lecture de la mémoire allouée par un processus parent sans que ce dernier en soit conscient et sans autorisation. Le processus enfantin pourrait être essentiellement un logiciel malveillant, qui pourrait alors extraire des données sensibles à l'insu de l'utilisateur.
Les chercheurs du Projet Zéro reconnaissent que ce serait un exploit assez complexe à réaliser, surtout si l'on considère combien il est plus facile de tromper les utilisateurs pour qu'ils partagent leurs données personnelles. Mais un défaut doit être comblé quoi qu'il en soit, et c'est ce qu'a fait Qualcomm. Le problème est que Google s'est rendu compte que le patch du fabricant de puces contenait lui-même un nouveau défaut.
Le Projet Zéro a suggéré de suspendre la publication du patch et Qualcomm a déclaré qu'elle enquêterait, mais le délai de trois mois était alors passé et Google a publié sa découverte, comme nous l'avions dit au début. Il est curieux de constater que Qualcomm n'a apparemment pas demandé de délai supplémentaire, une autre pratique courante lorsque de tels cas se produisent. Maintenant, le fabricant de puces doit appuyer sur l'accélérateur avant qu'un pirate informatique ne trouve un moyen efficace d'exploiter la faille.