Mehrere beliebte Android-Telefone mit von Samsung hergestellten Exynos-Chips haben eine Sicherheitslücke, die Hackern eine erschreckende Kontrolle über die Geräte geben könnte.Project Zero, ein Team von Sicherheitsanalysten bei Google, das darauf abzielt, Menschen vor gezielten Angriffen zu schützen, hat achtzehn 0-Day-Schwachstellen in Exynos-Modems gefunden. Eine 0-Day-Schwachstelle ist eine Schwachstelle, die dem Produktanbieter zuvor unbekannt war.
Vier Schwachstellen könnten Hackern einfachen Zugriff auf betroffene Telefone ermöglichen
Die Schwachstellen wurden zwischen Ende 2022 und Anfang 2023 entdeckt und vier davon Sie ermöglichten die Ausführung von Internet-zu-Basisband-Remotecode. Ein Angreifer benötigt nur die Telefonnummer einer Person, um diese Schwachstelle auszunutzen und das Telefon des Opfers unbemerkt und aus der Ferne zu kompromittieren.
Von Project Zero durchgeführte Tests bestätigen, dass diese vier Schwachstellen es einem Angreifer ermöglichen, ein Telefon auf Basisbandebene aus der Ferne zu kompromittieren ohne Benutzerinteraktion und erfordern lediglich, dass der Angreifer die Telefonnummer des Opfers kennt. Mit begrenzter zusätzlicher Forschung und Entwicklung glauben wir, dass erfahrene Angreifer schnell einen operativen Exploit erstellen könnten, um betroffene Geräte unbemerkt und aus der Ferne zu kompromittieren.”– Tim Willis, Project Zero
Die verbleibenden damit verbundenen Schwachstellen sind nicht so schwerwiegend und würden es tun erfordern einen böswilligen Mobilfunkbetreiber oder direkten Zugriff auf ein Gerät.
Betroffene Smartphones und Uhren
Samsung ist sich des Exynos-Bugs bewusst
Laut Samsung-Website finden sich die Sicherheitslücken in Exynos Modem 5123 und Exynos Modem 5300 sowie Exynos 980 und Exynos 1080 Chipsätze (über 9to5Google). Diese Chips befinden sich in der folgende Geräte: Samsung Galaxy S22 (nur die Exynos-betriebenen Varianten, die in Großbritannien und Europa verkauft werden), A71, A53, A33, A21s, A13, A12, A04, M3 3-, M13-und M12-SerieSamsung Galaxy Watch 5 und Watch 4Vivo S16-, S15-, S6-, X70-, X60-und X30-SerieGoogle Pixel 7 duo, Pixel 6-Reihe und Pixel 6aDas März-Software-Update für das Pixel 7 behebt die schwerste Schwachstelle, CVE-2023-24033. Die Pixel 6 und 6a werden Berichten zufolge noch in diesem Monat das Update erhalten. Samsung-und Vivo-Geräte bleiben ungeschützt, obwohl Samsung vor 90 Tagen auf das Problem aufmerksam gemacht wurde.
Project Zero-Forscher sagt, dass Samsung vor langer Zeit auf das Problem aufmerksam gemacht wurde
Project Zero rät, dass Benutzer, die ihre Geräte vor den Sicherheitslücken bei der Ausführung von Baseband-Remotecode schützen möchten, diese abschalten sollten, bis ein Fix bereitgestellt wird WLAN-Anrufe und Voice-over-LTE (VoLTE).
Da die vier kritischen Fehler leicht auszunutzen sind, hat sich Project Zero entschieden, eine Ausnahme von seiner Offenlegungsrichtlinie zu machen, und gibt dazu keine weiteren Details preis kann die Arbeit eines Hackers erleichtern.