Hva du trenger å vite
- Googles Project Zero-team avslører nye sårbarheter for Exynos SoCs.
- Disse brikkesettdrevne telefonene inkluderer blant annet Pixel 6-serien, Pixel 7-serien og Galaxy S22-modellene.
- Teamet påpeker at det er et sikkerhetsproblem for ekstern kjøring av basebånd-kode som kan gjøres basert på å lære offerets telefonnummer.
Smarttelefoner er ofte rangert i henhold til brikkesettene deres for ytelse, men disse SoC-ene er noen ganger sårbare, og nye bevis fra Googles Project Zero-team tyder på det.
I løpet av de siste månedene har Project Zero-teamet funnet atten 0-dagers sårbarheter i enheter som består av Samsung Exynos-modemer (via 9to5Google). Av disse atten er fire alvorlige (en har CVE-2023-24033 ID, mens andre ennå ikke har blitt tildelt CVE-IDer), som kan tillate angripere å utføre en ekstern kjøring av Internett-til-basebånd.
I en medfølgende blogginnlegg, indikerer Project Zero-teamet at disse fire sårbarhetene "tillater en angriper å eksternt kompromittere en telefon på basebåndnivå uten brukerinteraksjon, og krever bare at angriperen kjenner offerets telefonnummer."
Sikkerhetsteamet hevder at selv om det kan være utfordrende for uidentifiserte angripere å lære offerets telefonnummer, er det fortsatt mulig å gjøre det skjult og eksternt.
Mens de fleste Android-telefon brukere kan sjekke om deres brikkesett er berørt fra listen sørget for av Samsung Semiconductors råd gir prosjektteamet listen over enheter basert på deres forskning:
- Samsung-enheter inkludert Galaxy S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 og A04 serie. (Galaxy S22-eiere i USA og utvalgte andre land som bruker Qualcomm-brikker påvirkes ikke).
- Noen Vivo-modeller inkluderer Vivo S16, S15, S6, X70, X60, og X30-serien.
- Google Pixel 6 og Pixel 7 serie kommer med Tensor-brikker utviklet av Samsung og er Exynos-baserte.
- Exynos brikkesett, kalt Auto T5123 SoC, brukt i bilindustrien, er også tilsynelatende påvirket.
Siden den nye Galaxy S23 bruker Qualcomm globalt, påvirkes det ikke slik andre Galaxy-enheter er.
CVE-2023-24033 ID-sårbarheten, som nevnt ovenfor, har angivelig blitt fikset på Pixel-enhetene med den siste Mars 2023-oppdatering, som dessverre ennå ikke er mottatt Pixel 6 og 6a modeller.
"Å slå av disse innstillingene vil fjerne utnyttelsesrisikoen for disse sårbarhetene."
Project Zero-teamet
I mellomtiden kan de andre ikke-Pixel-enhetene, som ennå ikke har fått en reparasjon fra OEM-ene, måtte omgås for å beskytte seg mot angripere. Sikkerhetsteamet råder dem til å slå av Wi-Fi-anrop og Voice-over-LTE (VoLTE) på sine Samsung Exynos-drevne smarttelefoner.
- Telefontilbud: Beste kjøp | Walmart | Samsung | Amazon | Verizon | AT&T