Pesquisadores de segurança da equipe Project Zero do Google descobriram várias vulnerabilidades graves de dia zero nos modems Exynos da Samsung. As vulnerabilidades afetam dezenas de smartphones e wearables da Samsung, Google e Vivo. As séries Galaxy S22, Galaxy A53, Galaxy A33, Pixel 6 series, Pixel 7 series, Vivo X70 series e Vivo S16 series estão entre os dispositivos afetados.
Em recente postagem do blog, Project Zero revelou que eles descobriram 18 zero-day vulnerabilidades em Modems Exynos produzidos pela Samsung Semiconductor. Quatro delas são falhas críticas que podem levar à execução remota de código da Internet para a banda base, se exploradas na natureza. Um invasor remoto precisaria apenas saber o número de telefone da vítima para comprometer um telefone no nível de banda base sem interação do usuário. Essas vulnerabilidades não são muito difíceis de explorar, concluíram os pesquisadores.
As 14 vulnerabilidades restantes não são tão graves, no entanto. Eles exigem “um operador de rede móvel mal-intencionado ou um invasor com acesso local ao dispositivo”. O Project Zero relatou essas vulnerabilidades à Samsung entre o final de 2022 e o início de 2023. Já se passaram mais de 90 dias desde que os pesquisadores enviaram alguns dos relatórios, mas a empresa coreana ainda não corrigiu nenhuma das falhas.
Lista completa de dispositivos afetados por essas vulnerabilidades do Exynos
Essas vulnerabilidades de dia zero afetam mais de uma dúzia de smartphones Samsung, incluindo Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, e série Galaxy A04.
O Google, que começou a usar chips Tensor fabricados pela Samsung em smartphones Pixel em 2021, também encontrou todos os modelos Pixel recentes vulneráveis, ou seja, as séries Pixel 6 e Pixel 7. Os dispositivos Vivo afetados incluem o Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 e a série Vivo X30.
Além disso, qualquer produto vestível com o chipset Exynos W920 também é vulnerável a essas falhas de segurança. As séries Galaxy Watch 4 e Galaxy Watch 5 da Samsung estão entre elas. Por fim, essas vulnerabilidades do modem Exynos também afetam os veículos que usam o chipset Exynos Auto T5123. De acordo com o lançamento oficial do Project Zero, a atualização de março do Google para dispositivos Pixel corrige os problemas.
A atualização já está disponível para a série Pixel 7, mas a série Pixel 6 ainda está aguardando. As vulnerabilidades aparentemente permanecem sem correção em outros dispositivos afetados.
Como medida de proteção temporária, o chefe do Project Zero, Tim Willis, aconselha os usuários a desativar as chamadas Wi-Fi e o Voice-over-LTE (VoLTE). Isso “eliminará o risco de exploração dessas vulnerabilidades” nos dispositivos afetados. Infelizmente, esses recursos são essenciais para muitas pessoas. Esperamos que a Samsung corrija essas falhas em seus modems Exynos o mais rápido possível.