Sicherheitsforscher des Project Zero-Teams von Google haben mehrere schwerwiegende Zero-Day-Schwachstellen in Exynos-Modems von Samsung entdeckt. Die Schwachstellen betreffen Dutzende Smartphones und Wearables von Samsung, Google und Vivo. Die Galaxy S22-Serie, Galaxy A53, Galaxy A33, Pixel 6-Serie, Pixel 7-Serie, Vivo X70-Serie und die Vivo S16-Serie gehören zu den betroffenen Geräten.
In einer kürzlich erschienenen Blogpost enthüllte Project Zero, dass sie 18 Null-Day-Schwachstellen in Exynos-Modems von Samsung Semiconductor. Vier davon sind kritische Schwachstellen, die bei Ausnutzung in freier Wildbahn zu einer Remote-Code-Ausführung vom Internet zum Basisband führen könnten. Ein entfernter Angreifer müsste nur die Telefonnummer des Opfers kennen, um ein Telefon auf Basisbandebene ohne Benutzerinteraktion zu kompromittieren. Diese Schwachstellen sind nicht allzu schwer auszunutzen, folgerten die Forscher.
Die verbleibenden 14 Schwachstellen sind jedoch nicht so schwerwiegend. Sie bedürfen „entweder eines böswilligen Mobilfunkbetreibers oder eines Angreifers mit lokalem Zugriff auf das Gerät“. Project Zero hat diese Schwachstellen zwischen Ende 2022 und Anfang 2023 an Samsung gemeldet. Es ist mehr als 90 Tage her, seit die Forscher einige der Berichte eingereicht haben, aber das koreanische Unternehmen hat noch keine der Schwachstellen behoben.
Vollständige Liste der Geräte, die von diesen Exynos-Schwachstellen betroffen sind
Diese Zero-Day-Sicherheitslücken betreffen über ein Dutzend Samsung-Smartphones, darunter Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, und Galaxy A04-Serie.
Google, das 2021 damit begann, von Samsung hergestellte Tensor-Chips in Pixel-Smartphones zu verwenden, hat auch festgestellt, dass alle neueren Pixel-Modelle anfällig sind, d. h. Pixel 6-und Pixel 7-Serien. Zu den betroffenen Vivo-Geräten gehören die Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 und die Vivo X30-Serie.
Außerdem ist jedes tragbare Produkt mit dem Exynos W920-Chipsatz ebenfalls anfällig für diese Sicherheitslücken. Darunter auch Samsungs Serien Galaxy Watch 4 und Galaxy Watch 5. Schließlich betreffen diese Exynos-Modem-Schwachstellen auch Fahrzeuge, die den Exynos Auto T5123-Chipsatz verwenden. Laut der offiziellen Veröffentlichung von Project Zero behebt das März-Update von Google für Pixel-Geräte die Probleme.
Das Update ist bereits für die Pixel 7-Serie verfügbar, aber die Pixel 6-Serie wartet noch darauf. Die Sicherheitslücken scheinen auf anderen betroffenen Geräten nicht gepatcht zu werden.
Als vorübergehende Schutzmaßnahme rät Tim Willis, Leiter von Project Zero, Benutzern, Wi-Fi-Anrufe und Voice-over-LTE (VoLTE) zu deaktivieren. Dadurch wird „das Ausnutzungsrisiko dieser Schwachstellen“ auf betroffenen Geräten beseitigt. Leider sind diese Funktionen für viele Menschen unerlässlich. Wir hoffen, dass Samsung diese Fehler früher oder später an seinen Exynos-Modems beheben wird.
