Les GPU Adreno sont largement utilisés dans diverses puces Snapdragon, offrant des capacités de rendu avancées pour les téléphones et les ordinateurs portables. Les scientifiques y ont découvert des vulnérabilités critiques.
Des modèles tels que le Snapdragon X Elite sont équipés du processeur graphique hautes performances Adreno X1, ce qui les met en concurrence directe avec les processeurs graphiques intégrés d'Intel et d'AMD.
Pendant ce temps, les chercheurs de Google ont découvert plus de neuf vulnérabilités dans le processeur Adreno, la puce graphique intégrée aux processeurs Snapdragon de Qualcomm. Étant donné que le GPU dispose des privilèges du noyau, ces vulnérabilités constituent une menace sérieuse : elles pourraient permettre aux attaquants de prendre le contrôle total de l'appareil.
La recherche s'est concentrée sur les pilotes GPU, car les applications non vérifiées peuvent y accéder sans autorisations supplémentaires. Cela en fait une cible attractive pour les pirates. La complexité de ces pilotes et leur intégration profonde avec les systèmes d'exploitation augmentent encore la vulnérabilité aux failles de sécurité.
Xuan Xing, responsable de l'équipe rouge Android de Google, a expliqué à Wired que son équipe est petite par rapport au vaste écosystème Android et qu'elle doit donc se concentrer sur les domaines dans lesquels elle peut avoir le plus grand impact. « Les pirates exploitent de plus en plus les vulnérabilités des pilotes GPU, telles que celles trouvées dans les GPU Adreno de Qualcomm et Mali d'Arm. Ces vulnérabilités conduisent à un accès non autorisé aux données stockées dans la mémoire du GPU, ce qui constitue une menace sérieuse étant donné l'utilisation généralisée de ces composants dans des appareils tels que Smartphones et tablettes Android », a-t-il commenté.
Qualcomm a déjà apporté des corrections
Qualcomm a déjà corrigé les vulnérabilités découvertes par Google, mais les utilisateurs doivent également franchir une étape. Les fonctionnalités de mise à jour automatique sont généralement plus lentes que l'installation manuelle des mises à jour, et il existe un léger délai entre les correctifs du fabricant et les mises à jour du système d'exploitation. Les utilisateurs d'Android devraient donc vérifier et installer les mises à jour disponibles dès que possible, d'autant plus que des pirates auraient déjà exploité certaines de ces vulnérabilités de manière limitée et ciblée.
La découverte de vulnérabilités met en évidence la nécessité croissante de se concentrer sur la sécurité des GPU mobiles. Une grande attention a toujours été accordée aux processeurs haut de gamme pour PC et serveurs. Cependant, les vulnérabilités d'Adreno montrent que les GPU mobiles posent également un risque de sécurité important auquel les fabricants doivent prêter attention et réagir.