谷歌零項目團隊的安全研究人員在三星的 Exynos 調製解調器上發現了多個嚴重的零日漏洞。這些漏洞影響了三星、谷歌和 Vivo 的數十款智能手機和可穿戴設備。受影響的設備包括 Galaxy S22 系列、Galaxy A53、Galaxy A33、Pixel 6 系列、Pixel 7 系列、Vivo X70 系列和 Vivo S16 系列。
在最近的 博客文章,零計劃透露他們已經發現了 18 個零-Samsung Semiconductor 生產的 Exynos 調製解調器中的 day 漏洞。其中四個是嚴重缺陷,如果在野外被利用,可能會導致互聯網到基帶的遠程代碼執行。遠程攻擊者只需要知道受害者的電話號碼就可以在基帶級別破壞電話,而無需用戶交互。研究人員得出結論,這些漏洞並不太難利用。
但其餘 14 個漏洞並不那麼嚴重。他們需要“惡意移動網絡運營商或具有設備本地訪問權限的攻擊者”。零號計劃在 2022 年底至 2023 年初期間向三星報告了這些漏洞。研究人員提交部分報告已經 90 多天了,但這家韓國公司尚未修補任何漏洞。
受這些 Exynos 漏洞影響的設備的完整列表
這些零日漏洞影響了十多款三星智能手機,包括 Galaxy S22、Galaxy M33、Galaxy M13、Galaxy M12、Galaxy A71、Galaxy A53、Galaxy A33、Galaxy A21、Galaxy A13、Galaxy A12、和銀河A04系列。
谷歌於 2021 年開始在 Pixel 智能手機中使用三星製造的 Tensor 芯片,也發現所有最新的 Pixel 型號都存在漏洞,即 Pixel 6 和 Pixel 7 系列。受影響的 Vivo 設備包括 Vivo S16、Vivo S15、Vivo S6、Vivo X70、Vivo X60 和 Vivo X30 系列。
此外,任何採用 Exynos W920 芯片組的可穿戴產品也容易受到這些安全漏洞的影響.三星的 Galaxy Watch 4 和 Galaxy Watch 5 系列就在其中。最後,這些 Exynos 調製解調器漏洞還會影響使用 Exynos Auto T5123 芯片組的車輛。根據 Project Zero 的官方發布,谷歌 3 月份針對 Pixel 設備的更新修復了這些問題。
更新已經適用於 Pixel 7 系列,但 Pixel 6 系列仍在等待中。這些漏洞在其他受影響的設備上似乎仍未修補。
作為臨時保護措施,Project Zero 的負責人 Tim Willis 建議用戶關閉 Wi-Fi 通話和 LTE 語音 (VoLTE)。這將在受影響的設備上“消除這些漏洞的利用風險”。不幸的是,這些功能對許多人來說是必不可少的。我們希望三星能盡快修補其 Exynos 調製解調器上的這些缺陷。