IT之家11月29日消息，谷歌的ProjectZero團隊的終極目標是消除世界上所有的零日漏洞，而鑑於近期爆發的ARMGPU漏洞，該團隊在最新博文中譴責了安卓廠商的偷懶行爲，甚至於谷歌自家的Pixel也在抨擊範圍內。在博文中，ProjectZero團隊表示安卓廠商並沒有迅速採取行動，以修復ARMGPU驅動漏洞。

ProjectZero團隊成員麥迪・斯通（MaddieStone）於今年6月在Pixel6手機中發現了一個漏洞，這個存在於ARMGPU驅動中的漏洞可以讓非特權用戶獲得對只讀存儲器的寫入權限。

該團隊的另一名成員詹恩・霍恩（JannHorn）在三週後發現，在ARMGPU驅動中還存在其它一些相關的漏洞。這些漏洞可能允許“在應用程序中執行原生代碼的攻擊者[獲得]對系統的完全訪問，繞過安卓的權限模型，並允許廣泛訪問用戶數據”。

ProjectZero團隊表示在2022年6-7月向ARM報告了這些問題。ARM在7-8月期間修復了這些問題，發佈了安全公告（CVE-2022-36449）並公佈了修復的源代碼。

但對消費者來說，依然沒有修復這些漏洞。這主要的原因是包括谷歌自身在內的各種安卓OEM廠商。ProjectZero團隊表示，在ARM修復了這些漏洞幾個月後，我們所有使用Mali的測試設備仍然容易受到這些問題的影響。CVE-2022-36449在任何下游安全公告中都沒有提到。。

IT之家瞭解到，受影響的ARMGPU設備列表很長，涉及過去三代的ARMGPU架構（Midgard、Bifrost和Valhall），範圍從目前出貨的設備到2016年的手機。高通芯片沒有使用ARM的GPU，但谷歌的TensorSoC在Pixel6、6a和7中使用了ARMGPU，而三星的ExynosSoC在其中端手機和GalaxyS21（只是沒有GalaxyS22）等舊的國際旗艦中使用了ARMGPU。聯發科的SoC也都是ARMGPU用戶，所以我們說的是幾乎每家安卓OEM廠商的數百萬部易受攻擊的安卓手機。