Kas jums jāzina
- Google Project Zero komanda atklāj jaunas Exynos SoC ievainojamības.
- Šajos tālruņos, kas darbojas ar mikroshēmojumu, cita starpā ietilpst Pixel 6 sērija, Pixel 7 sērija un Galaxy S22 modeļi.
- Komanda norāda, ka tā ir pamatjoslas attālās koda izpildes ievainojamība, ko var izdarīt, uzzinot upura tālruņa numuru.
Viedtālruņi bieži tiek sarindoti atbilstoši to mikroshēmojumam pēc to veiktspējas, taču šie SoC dažkārt ir neaizsargāti, un Google Project Zero komandas jauni pierādījumi par to liecina.
Dažu pēdējo mēnešu laikā Project Zero komanda ir atklājusi astoņpadsmit 0 dienu ievainojamības ierīcēs, kurās ir Samsung Exynos modemi (izmantojot 9to5Google). No šiem astoņpadsmit četri ir smagi (vienam ir CVE-2023-24033 ID, savukārt citiem vēl ir jāpiešķir CVE-ID), kas var ļaut uzbrucējiem veikt attālo koda izpildi no interneta uz bāzes joslu.
In an pavadošais emuāra ieraksts, Project Zero komanda norāda, ka šīs četras ievainojamības "ļauj uzbrucējam attālināti apdraudēt tālruni pamatjoslas līmenī bez lietotāja mijiedarbības, un tikai prasīt, lai uzbrucējs zinātu upura tālruņa numuru."
Drošības komanda apgalvo, ka, lai gan neidentificētiem uzbrucējiem upura tālruņa numura iegūšana var būt izaicinājums, to joprojām ir iespējams izdarīt slēpti un attālināti.
Kamēr lielākā daļa Android tālrunis lietotāji sarakstā var pārbaudīt, vai tiek ietekmētas viņu mikroshēmas nodrošināta Saskaņā ar Samsung Semiconductor ieteikumiem projekta komanda sniedz ierīču sarakstu, pamatojoties uz saviem pētījumiem:
- Samsung ierīces, tostarp Galaxy S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 un A04 sērija. (Galaxy S22 īpašnieki ASV un atsevišķās citās valstīs, kas izmanto Qualcomm mikroshēmas, netiek ietekmēti).
- Daži Vivo modeļi ietver Vivo S16, S15, S6, X70, X60, un X30 sērija.
- Google Pixel 6 un Pixel 7 sērija nāk ar Tensor mikroshēmām, ko izstrādājis Samsung, un tās ir balstītas uz Exynos.
- Šķietami ietekmēts ir arī Exynos mikroshēmojums, saukts par Auto T5123 SoC, ko izmanto automobiļos.
Kopš jaunā Galaxy S23 izmanto Qualcomm visā pasaulē, tas netiek ietekmēts tāpat kā citas Galaxy ierīces.
Tiek ziņots, ka CVE-2023-24033 ID ievainojamība, kā minēts iepriekš, ir novērsta Pixel ierīcēs ar neseno 2023. gada marta atjauninājums, kas diemžēl vēl ir jāsaņem Pixel 6 un 6a modeļiem.
"Izslēdzot šos iestatījumus, tiks novērsts šo ievainojamību izmantošanas risks."
Projekta Zero komanda
Tikmēr citām ierīcēm, kas nav Pixel un kuras vēl nav saņēmušas labojumus no oriģinālā aprīkojuma ražotājiem, iespējams, būs jāstrādā, lai pasargātu sevi no uzbrucējiem. Drošības komanda iesaka viņiem Samsung Exynos darbināmajos viedtālruņos izslēgt Wi-Fi zvanus un balss pārraidi LTE (VoLTE).
- Tālruņa piedāvājumi: Labākais pirkums | Walmart | Samsung | Amazon | Verizon | AT&T