Google, tepatnya tim Project Zero, mengungkap ada satu celah keamanan yang masih menganga meski sudah diperbaiki oleh ARM.

Celah yang dimaksud ada pada GPU Mali yang dipakai di sejumlah system on a chip (SoC), termasuk Exynos dan Tensor, dan sebenarnya sudah ditemukan sejak Juni dan Juli lalu, demikian dikutip detikINET dari Engadget, Jumat (25/11/2022).

Peneliti di Project Zero menemukan lima celah pada Juni dan Juli lalu, dan langsung melaporkan temuannya itu ke ARM yang mendesain GPU tersebut. ARM punkemudian menambal celah tersebut pada bulan Juli dan Agustus.

Namun masalahnya, para pabrikan ponsel seperti Samsung, Xiaomi, Oppo, dan bahkan Google belum menambahkan patch dari ARM untuk menambal celah tersebut, sampai awal minggu ini.

"Salah satu dari celah ini mengarah ke korupsi memori kernel, salah satunya mengarah ke physical memory addresses yang terungkap ke userspace, dan tiga sisanya mengarah ke laman fisik dengan kondisi use-after-free," tulis Ian Beer dari Project Zero dalam postingan blognya.

"(Celah ini) bisa membuat penyerang terus membaca dan menulis laman fisik setelah mereka dikembalikan ke sistem," tambahnya.

Beer menyebut dengan celah ini si hacker bisa saja mendapat akses penuh ke sistem karena mereka bisa melewati model permission (izin) di Android dan mendapat akses sangat luas ke data pengguna. Yaitu dengan memaksa kernel untuk mengulang penggunaan laman fisik yang dimaksud.

Namun sayangnya, menurut Project Zero, tiga bulan setelah ARM memperbaiki masalah ini, semua perangkat yang diuji oleh tim peneliti keamanan mereka masih mempunyai celah tersebut.

Bahkan masalah tersebut tak pernah disebutkan di buletin keamanan mana pun dari pembuat ponsel Android.