I ricercatori di Google rivelano una vulnerabilità 'ad alta gravità' nelle GPU Qualcomm Adreno

Il team di Google Project Zero (GPZ) ha divulgato un difetto di sicurezza di “alta” gravità nelle GPU Qualcomm Adreno. Poiché il produttore di chip non è riuscito a sviluppare una patch adeguata entro 90 giorni dalla ricezione della notifica da Project Zero, Google ha ora reso pubblici i dettagli del bug.

Per chi non lo sapesse, secondo la politica di divulgazione rivista, GPZ deve attendere almeno 90 giorni prima di rivelare pubblicamente i dettagli di un bug di sicurezza, anche se il bug viene risolto prima di quella scadenza. Inoltre, i fornitori possono richiedere un ulteriore periodo di grazia di 14 giorni a Google se ritengono di non poter risolvere la vulnerabilità segnalata entro 90 giorni.

Il driver della GPU Adreno associa una struttura di dispositivo privata (“process_priv”) a ciascun descrittore di file KGSL, che contiene le tabelle delle pagine utilizzate per il passaggio di contesto della GPU. Questa struttura è legata al PID del processo chiamante e può essere riutilizzata più volte da ulteriori descrittori di file KGSL nello stesso processo (presumibilmente per risparmiare il costo di eseguire un passaggio di contesto della GPU tra i contesti di disegno nello stesso processo).

Quando un processo fork, il figlio eredita i descrittori di file KGSL del genitore insieme alla struttura privata associata al PID del genitore. Se un processo figlio detiene un descrittore di file KGSL che è stato originariamente aperto in un processo genitore, e se quel processo genitore termina, allora il figlio detiene ancora un riferimento alla struttura privata associata al PID del genitore.

Tuttavia, se il PID del genitore viene riutilizzato da un processo vittima, allora la vittima riutilizzerà la struttura privata esistente piuttosto che crearne una nuova. In pratica, questo dà al processo figlio (un attaccante) la possibilità di leggere eventuali mappature GPU condivise successive che il processo vittima crea poiché i loro contesti di disegno sono considerati in esecuzione nello stesso contesto GPU.

Secondo Google Project Zero, “un attacco nel mondo reale richiederebbe all’attaccante di cicli il PID e poi attivare un’intenzione ben temporizzata o un riavvio del servizio di sistema tramite un bug di crash. L’exploit tenterebbe quindi di recuperare i contenuti del compositing GPU della vittima (o i risultati di altre operazioni GPU).”

Il 15 settembre 2020, il team di ricerca di Google ha contattato Qualcomm per segnalare la vulnerabilità insieme a suggerimenti per la correzione del bug. Il team di ricerca ha dato a Qualcomm una scadenza di 90 giorni secondo la politica di divulgazione rivista (che scadrebbe il 14 dicembre) per risolvere il problema prima di rivelare pubblicamente i dettagli del bug.

Inoltre, il 7 dicembre 2020, Qualcomm ha informato Project Zero che il problema (CVE-2020-11311) era stato risolto e condiviso nel bollettino OEM privato con un avviso pubblico pianificato per gennaio 2021. A questo, il team di ricerca di Google ha risposto che il problema sarebbe stato divulgato il 14 dicembre e ha richiesto un link alle patch pertinenti, che è stato prontamente fornito da Qualcomm.

Indagando sulla patch proposta, Google ha scoperto che introduceva un problema di conteggio dei riferimenti che portava a un UAF sfruttabile (ad esempio, la patch per questo bug di perdita di informazioni introduce un bug di escalation dei privilegi del kernel). Project Zero ha condiviso i dettagli del nuovo UAF che la patch introduce il 10 dicembre 2020, a cui Qualcomm ha risposto che stavano indagando sulle nuove informazioni.

Poiché la scadenza del 14 dicembre non è stata rispettata da Qualcomm, Project Zero ha proceduto a esporre pubblicamente il difetto di alta gravità nel driver della GPU Adreno. Sebbene secondo la politica di divulgazione rivista, i fornitori possano richiedere un ulteriore periodo di grazia di 14 giorni per risolvere il difetto, non è chiaro nel bollettino di Google se Qualcomm lo abbia fatto.

Con il bug di sicurezza ora pubblico, Qualcomm deve accelerare prima che eventuali attaccanti trovino un modo efficace per sfruttare il difetto.