Googlen Project Zero-tiimin tietoturvatutkijat ovat havainneet useita vakavia nollapäivän haavoittuvuuksia Samsungin Exynos-modeemeista. Haavoittuvuudet vaikuttavat kymmeniin Samsungin, Googlen ja Vivon älypuhelimiin ja puetettaviin laitteisiin. Galaxy S22-sarja, Galaxy A53, Galaxy A33, Pixel 6-sarja, Pixel 7-sarja, Vivo X70-sarja ja Vivo S16-sarja ovat näiden laitteiden joukossa.
Äskettäin julkaistussa blogiviestissä Project Zero paljasti, että he ovat löytäneet 18 nolla-päivän haavoittuvuuksia Samsung Semiconductorin tuottamissa Exynos-modeemeissa. Neljä niistä on kriittisiä puutteita, jotka voivat johtaa Internet-kantakaistan etäkoodin suorittamiseen, jos niitä hyödynnetään luonnossa. Etähyökkääjä tarvitsee vain tietää uhrin puhelinnumeron, jotta se voisi vaarantaa puhelimen kantataajuudella ilman käyttäjän toimia. Nämä haavoittuvuudet eivät ole liian vaikeita hyödyntää, tutkijat päättelivät.
Muut 14 haavoittuvuutta eivät kuitenkaan ole yhtä vakavia. Ne edellyttävät”joko haitallista mobiiliverkko-operaattoria tai hyökkääjää, jolla on paikallinen pääsy laitteeseen”. Project Zero ilmoitti näistä haavoittuvuuksista Samsungille vuoden 2022 lopun ja vuoden 2023 alussa. On kulunut yli 90 päivää siitä, kun tutkijat toimittivat osan raporteista, mutta korealainen yritys ei ole vielä korjannut mitään puutteita.
Täydellinen luettelo laitteista, joihin nämä Exynos-haavoittuvuudet vaikuttavat
Nämä nollapäivän haavoittuvuudet vaikuttavat yli tusinaan Samsungin älypuhelimeen, mukaan lukien Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, ja Galaxy A04-sarja.
Google, joka aloitti Samsungin valmistamien Tensor-sirujen käytön Pixel-älypuhelimissa vuonna 2021, on myös havainnut kaikki viimeisimmät Pixel-mallit, eli Pixel 6-ja Pixel 7-sarjat, haavoittuvina. Vivo-laitteita, joita tämä koskee, ovat Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 ja Vivo X30-sarja.
Lisäksi kaikki Exynos W920-piirisarjan sisältävät puettavat tuotteet ovat myös alttiina näille tietoturvapuutteille.. Samsungin Galaxy Watch 4-ja Galaxy Watch 5-sarjat ovat yksi niistä. Lopuksi nämä Exynos-modeemin haavoittuvuudet vaikuttavat myös Exynos Auto T5123-piirisarjaa käyttäviin ajoneuvoihin. Project Zeron virallisen julkaisun mukaan Googlen maaliskuun päivitys Pixel-laitteille korjaa ongelmat.
Päivitys on jo saatavilla Pixel 7-sarjalle, mutta Pixel 6-sarja odottaa vielä sitä. Haavoittuvuudet näyttävät pysyvän korjaamattomissa muissa laitteissa, joita ongelma koskee.
Project Zeron johtaja Tim Willis neuvoo väliaikaisena suojatoimenpiteenä käyttäjiä poistamaan Wi-Fi-puhelut ja Voice-over-LTE (VoLTE)-toiminnot. Tämä”poistaa näiden haavoittuvuuksien hyödyntämisriskin”laitteissa, joita tämä koskee. Valitettavasti nämä ominaisuudet ovat välttämättömiä monille ihmisille. Toivomme, että Samsung korjaa nämä puutteet Exynos-modeemeissaan ennemmin tai myöhemmin.