Mitä sinun tarvitsee tietää
- Googlen Project Zero -tiimi paljastaa uusia haavoittuvuuksia Exynos SoC: ille.
- Näitä piirisarjalla toimivia puhelimia ovat muun muassa Pixel 6 -sarja, Pixel 7 -sarja ja Galaxy S22 -mallit.
- Tiimi huomauttaa, että se on kantataajuusalueen koodin etäsuorittamisen haavoittuvuus, joka voidaan tehdä uhrin puhelinnumeron oppimisen perusteella.
Älypuhelimet luokitellaan usein niiden piirisarjojen mukaan suorituskyvyn perusteella, mutta nämä SoC: t ovat joskus haavoittuvia, ja Googlen Project Zero -tiimin uudet todisteet viittaavat siihen.
Viime kuukausien aikana Project Zero -tiimi on löytänyt kahdeksantoista 0 päivän haavoittuvuutta laitteista, jotka sisältävät Samsung Exynos -modeemeja (välillä 9to5Google). Näistä kahdeksastatoista neljä on vakavia (yksi on CVE-2023-24033 tunnus, kun taas toisille ei ole vielä määritetty CVE-ID: itä), mikä voi antaa hyökkääjille mahdollisuuden suorittaa etäkoodin Internet-kantakaistalle.
Vuonna an oheinen blogikirjoitusProject Zero -tiimi osoittaa, että nämä neljä haavoittuvuutta "antavat hyökkääjän murtautua etänä puhelimen kantataajuustasolla ilman käyttäjän vuorovaikutusta ja vaatia vain, että hyökkääjä tietää uhrin puhelinnumeron."
Turvatiimi väittää, että vaikka uhrin puhelinnumeron saaminen voi olla haastavaa tunnistamattomille hyökkääjille, se on silti mahdollista tehdä piilossa ja etänä.
Vaikka suurin osa Android-puhelin käyttäjät voivat tarkistaa luettelosta, onko vaikutus heidän piirisarjoihinsa tarjotaan Samsung Semiconductorin neuvojen mukaan projektitiimi antaa luettelon laitteista tutkimustensa perusteella:
- Samsung-laitteet mukaan lukien Galaxy S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ja A04 sarja. (Tämä ei vaikuta Galaxy S22:n omistajiin Yhdysvalloissa ja tietyissä muissa Qualcomm-siruja käyttävissä maissa).
- Joissakin Vivo-malleissa on Vivo S16, S15, S6, X70, X60, ja X30 sarja.
- Google Pixel 6 ja Pixel 7 sarja mukana Samsungin kehittämät Tensor-sirut, ja ne ovat Exynos-pohjaisia.
- Myös autoteollisuudessa käytetty Exynos-piirisarja, nimeltään Auto T5123 SoC, vaikuttaa ilmeisesti.
Uudesta lähtien Galaxy S23 käyttää Qualcommia maailmanlaajuisesti, se ei vaikuta siihen kuten muihin Galaxy-laitteisiin.
CVE-2023-24033 ID-haavoittuvuus, kuten edellä mainittiin, on tiettävästi korjattu Pixel-laitteissa äskettäin Maaliskuun 2023 päivitys, jota ei valitettavasti ole vielä saatu Pixel 6 ja 6a mallit.
"Näiden asetusten poistaminen käytöstä poistaa näiden haavoittuvuuksien hyödyntämisriskin."
Project Zero -tiimi
Samaan aikaan muut muut kuin Pixel-laitteet, jotka eivät ole vielä saaneet korjausta OEM-valmistajiltaan, saattavat joutua kiertämään suojautuakseen hyökkääjiltä. Turvatiimi neuvoo heitä sammuttamaan Wi-Fi-puhelut ja Voice over-LTE (VoLTE) -toiminnot Samsung Exynos -älypuhelimistaan.
- Puhelintarjoukset: Paras osto | Walmart | Samsung | Amazon | Verizon | AT&T