Mida peate teadma
- Google'i Project Zero meeskond paljastab Exynose SoC-de uued haavatavused.
- Nende kiibistikuga telefonide hulka kuuluvad muu hulgas Pixel 6 seeria, Pixel 7 seeria ja Galaxy S22 mudelid.
- Meeskond osutab, et see on põhiriba koodi kaugkäivitamise haavatavus, mida saab teha ohvri telefoninumbri õppimise põhjal.
Nutitelefonid järjestatakse sageli nende toimivuse järgi kiibistiku järgi, kuid need SoC-d on mõnikord haavatavad ja Google'i Project Zero meeskonna uued tõendid viitavad sellele.
Projekti Zero meeskond on viimaste kuude jooksul leidnud Samsung Exynose modemeid sisaldavates seadmetes kaheksateist 0-päevast turvaauku (läbi 9to5Google). Neist kaheksateistkümnest neli on rasked (ühel on CVE-2023-24033 ID, samas kui teistele tuleb CVE-ID-sid veel määrata), mis võimaldab ründajatel Internetist põhiribale kaugkäivitada koodi.
Aastal an kaasnev blogipostitus, näitab Project Zero meeskond, et need neli haavatavust "võimaldavad ründajal telefoni eemalt ohustada. põhiriba tasemel ilma kasutaja sekkumiseta ja nõuda ainult, et ründaja teaks ohvri telefoninumbrit."
Turvameeskond väidab, et kuigi ohvri telefoninumbri teadasaamine võib tundmatutele ründajatele väljakutseid esitada, on seda siiski võimalik teha varjatult ja eemalt.
Kuigi enamik Android telefon kasutajad saavad loendist kontrollida, kas nende kiibistik on mõjutatud ette nähtud Samsung Semiconductori nõuannete põhjal esitab projektimeeskond nende uuringute põhjal seadmete loendi:
- Samsungi seadmed, sealhulgas Galaxy S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ja A04 seeria. (USA-s ja teatud teistes Qualcommi kiipe kasutavates riikides Galaxy S22 omanikke see ei mõjuta).
- Mõned Vivo mudelid sisaldavad Vivo S16, S15, S6, X70, X60, ja X30 seeria.
- Google Pixel 6 ja Pixel 7 seeria Samsungi välja töötatud Tensori kiipidega ja need on Exynosel põhinevad.
- Näiliselt mõjutatud on ka autotööstuses kasutatav Exynose kiibistik, nimega Auto T5123 SoC.
Alates uuest Galaxy S23 kasutab Qualcommi ülemaailmselt, see ei mõjuta teisi Galaxy seadmeid.
Nagu eespool mainitud, on CVE-2023-24033 ID haavatavus Pixeli seadmetes väidetavalt parandatud hiljutise Märtsi 2023 värskendus, mida kahjuks ei ole veel saabunud Pixel 6 ja 6a mudelid.
"Nende seadete väljalülitamine eemaldab nende haavatavuste ärakasutamise riski."
Projekti null meeskond
Samal ajal võivad teised mitte-Pixeli seadmed, mis pole oma originaalseadmete tootjatelt veel lahendust saanud, võivad end ründajate eest kaitsta. Turvameeskond soovitab neil Samsung Exynose toega nutitelefonides välja lülitada Wi-Fi-kõned ja Voice-over-LTE (VoLTE).
- Telefonipakkumised: Parim ost | Walmart | Samsung | Amazon | Verizon | AT&T