Useissa suosituissa Android-puhelimissa, joissa on Samsungin valmistamat Exynos-sirut, on tietoturva-aukko, jonka ansiosta hakkerit voivat hallita laitteita pelottavan paljon.Project Zero, Googlen tietoturva-analyytikkoryhmä, joka pyrkii suojelemaan ihmisiä kohdistetuilta hyökkäyksiltä, on löytänyt kahdeksantoista 0 päivän haavoittuvuutta Exynos-modeemeista. 0 päivän haavoittuvuus on virhe, jota tuotteen toimittaja ei aiemmin tiennyt.
Neljän haavoittuvuuden ansiosta hakkerit voivat päästä helposti käsiksi puhelimiin, joita ongelma koskee.
Vitteet havaittiin vuoden 2022 lopun ja vuoden 2023 alun välillä ja neljä ne sallivat koodin etäsuorituksen Internet-kantakaistalle. Hyökkääjä tarvitsee vain jonkun puhelinnumeron hyödyntääkseen tätä haavoittuvuutta ja vaarantaakseen uhrin puhelimen hiljaisesti ja etäältä.
Project Zeron suorittamat testit vahvistavat, että nämä neljä haavoittuvuutta antavat hyökkääjälle mahdollisuuden murtautua puhelimen etäyhteydellä kantataajuudella. ilman käyttäjän toimenpiteitä ja vaativat vain, että hyökkääjä tietää uhrin puhelinnumeron. Rajoitetun lisätutkimuksen ja-kehityksen avulla uskomme, että taitavat hyökkääjät pystyvät nopeasti luomaan toiminnallisen hyväksikäytön vaarantaakseen asianomaiset laitteet äänettömästi ja etäältä.”-Tim Willis, Project Zero
Muut liittyvät haavoittuvuudet eivät ole yhtä vakavia ja vaativat haitallisen mobiiliverkko-operaattorin tai suoran pääsyn laitteeseen.
Älypuhelimet ja kellot, joita ongelma koskee
Samsung on tietoinen Exynos-virheestä
Samsungin verkkosivustolla, haavoittuvuudet ovat sen Exynos Modem 5123:ssa ja Exynos Modem 5300:ssa sekä Exynos 980:ssa ja Exynos 1080:ssa piirisarjat (9to5Googlen kautta). Nämä sirut löytyvät seuraavat laitteet:Samsung Galaxy S22 (vain Isossa-Britanniassa ja Euroopassa myytävät Exynos-käyttöiset versiot), A71, A53, A33, A21s, A13, A12, A04, M3 3-, M13-ja M12-sarjatSamsung Galaxy Watch 5 ja Watch 4Vivo S16, S15, S6, X70, X60 ja X30-sarjatGoogle Pixel 7 duo, Pixel 6-sarja ja Pixel 6a Pixel 7:n maaliskuun ohjelmistopäivitys korjasi vakavimman haavoittuvuuden, CVE:n.-2023-24033. Pixel 6:n ja 6a:n kerrotaan saavan päivityksen myöhemmin tässä kuussa. Samsung-ja Vivo-laitteet ovat edelleen suojaamattomia, vaikka Samsungille ilmoitettiin ongelmasta 90 päivää sitten.
Project Zero-tutkija sanoo, että Samsung on varoitettu ongelmasta kauan sitten.
Project Zero neuvoo, että ennen kuin korjaus on julkaistu, käyttäjien, jotka haluavat suojata laitteitaan peruskaistan koodin etäsuorittamisen haavoittuvuuksilta, tulee sammuttaa Wi-Fi-puhelut ja Voice-over-LTE (VoLTE).
Koska neljää kriittistä virhettä on helppo hyödyntää, Project Zero on päättänyt tehdä poikkeuksen ilmoituskäytäntöönsä eikä paljasta lisätietoja, jotka voi helpottaa hakkerin työtä.
