Vários telefones Android populares com chips Exynos fabricados pela Samsung têm uma falha de segurança que pode dar aos hackers uma quantidade assustadora de controle sobre os dispositivos.Project Zero, uma equipe de analistas de segurança do Google que visa proteger as pessoas contra ataques direcionados, encontrou dezoito vulnerabilidades de 0 dias em modems Exynos. Uma vulnerabilidade de dia 0 é uma falha anteriormente desconhecida do fornecedor do produto.
Quatro vulnerabilidades podem facilitar o acesso dos hackers aos telefones afetados
As falhas foram descobertas entre o final de 2022 e o início de 2023 e quatro delas eles permitiam a execução remota de código de internet para banda base. Um invasor precisaria apenas do número de telefone de alguém para explorar essa vulnerabilidade e comprometer o telefone da vítima silenciosamente e remotamente.
Testes conduzidos pelo Project Zero confirmam que essas quatro vulnerabilidades permitem que um invasor comprometa remotamente um telefone no nível da banda base sem interação do usuário e exigem apenas que o invasor saiba o número de telefone da vítima. Com pesquisa e desenvolvimento adicionais limitados, acreditamos que invasores habilidosos seriam capazes de criar rapidamente uma exploração operacional para comprometer os dispositivos afetados de forma silenciosa e remota.”-Tim Willis, Project Zero
As vulnerabilidades relacionadas restantes não são tão graves e poderiam requerem uma operadora de rede móvel maliciosa ou acesso direto a um dispositivo.
Smartphones e relógios afetados
A Samsung está ciente do bug do Exynos
De acordo com Site da Samsung, as vulnerabilidades estão em seu Exynos Modem 5123 e Exynos Modem 5300, e Exynos 980 e Exynos 1080 chipsets (via 9to5Google). Esses chips são encontrados no seguintes dispositivos:Samsung Galaxy S22 (apenas as variantes com Exynos vendidas no Reino Unido e na Europa), A71, A53, A33, A21s, A13, A12, A04, M3 Séries 3, M13 e M12Samsung Galaxy Watch 5 e Watch 4Vivo séries S16, S15, S6, X70, X60 e X30Google Pixel 7 duo, gama Pixel 6 e Pixel 6aA atualização de software de março para o Pixel 7 abordou a vulnerabilidade mais grave, CVE-2023-24033. O Pixel 6 e 6a receberá a atualização ainda este mês. Aparelhos Samsung e Vivo continuam desprotegidos, mesmo que a Samsung tenha sido alertada sobre o problema há 90 dias.
O pesquisador do Project Zero diz que a Samsung foi alertada sobre o problema há muito tempo
O Project Zero informa que, até que uma correção seja lançada, os usuários que desejam proteger seus dispositivos das vulnerabilidades de execução remota de código de banda base devem desligar Chamadas Wi-Fi e Voice-over-LTE (VoLTE).
Como os quatro bugs críticos são fáceis de explorar, o Project Zero decidiu abrir uma exceção à sua política de divulgação e não está revelando detalhes adicionais que pode facilitar o trabalho de um hacker.
