Los investigadores de seguridad del equipo Project Zero de Google han descubierto varias vulnerabilidades graves de día cero en los módems Exynos de Samsung. Las vulnerabilidades afectan a decenas de smartphones y wearables de Samsung, Google y Vivo. La serie Galaxy S22, Galaxy A53, Galaxy A33, la serie Pixel 6, la serie Pixel 7, la serie Vivo X70 y la serie Vivo S16 se encuentran entre los dispositivos afectados.
En un reciente entrada de blog, Project Zero reveló que han descubierto 18 cero-vulnerabilidades diarias en los módems Exynos producidos por Samsung Semiconductor. Cuatro de ellos son fallas críticas que podrían conducir a la ejecución remota de código de Internet a banda base si se explotan en la naturaleza. Un atacante remoto solo necesitaría saber el número de teléfono de la víctima para comprometer un teléfono en el nivel de banda base sin interacción del usuario. Estas vulnerabilidades no son demasiado difíciles de explotar, concluyeron los investigadores.
Sin embargo, las 14 vulnerabilidades restantes no son tan graves. Requieren”ya sea un operador de red móvil malicioso o un atacante con acceso local al dispositivo”. Project Zero informó estas vulnerabilidades a Samsung entre finales de 2022 y principios de 2023. Han pasado más de 90 días desde que los investigadores enviaron algunos de los informes, pero la firma coreana aún no ha reparado ninguna de las fallas.
Lista completa de dispositivos afectados por estas vulnerabilidades de Exynos
Estas vulnerabilidades de día cero afectan a más de una docena de teléfonos inteligentes Samsung, incluidos Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, y serie Galaxy A04.
Google, que comenzó a usar chips Tensor fabricados por Samsung en los teléfonos inteligentes Pixel en 2021, también descubrió que todos los modelos recientes de Pixel son vulnerables, es decir, las series Pixel 6 y Pixel 7. Los dispositivos Vivo afectados incluyen Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 y la serie Vivo X30.
Además, cualquier dispositivo portátil con el chipset Exynos W920 también es vulnerable a estas fallas de seguridad.. Las series Galaxy Watch 4 y Galaxy Watch 5 de Samsung se encuentran entre ellas. Finalmente, estas vulnerabilidades del módem Exynos también afectan a los vehículos que utilizan el conjunto de chips Exynos Auto T5123. Según el lanzamiento oficial de Project Zero, la actualización de marzo de Google para dispositivos Pixel corrige los problemas.
La actualización ya está disponible para la serie Pixel 7, pero la serie Pixel 6 todavía la está esperando. Aparentemente, las vulnerabilidades permanecen sin parchear en otros dispositivos afectados.
Como medida de protección temporal, el jefe de Project Zero, Tim Willis, aconseja a los usuarios que apaguen las llamadas Wi-Fi y Voice-over-LTE (VoLTE). Esto”eliminará el riesgo de explotación de estas vulnerabilidades”en los dispositivos afectados. Desafortunadamente, estas características son esenciales para muchas personas. Esperamos que Samsung corrija estos defectos en sus módems Exynos lo antes posible.