A Google Project Zero csapatának biztonsági kutatói több súlyos nulladik napi sebezhetőséget fedeztek fel a Samsung Exynos modemjein. A biztonsági rések a Samsung, a Google és a Vivo több tucat okostelefonját és hordható eszközét érintik. A Galaxy S22 sorozat, a Galaxy A53, a Galaxy A33, a Pixel 6 sorozat, a Pixel 7 sorozat, a Vivo X70 sorozat és a Vivo S16 sorozat az érintett eszközök közé tartozik.
A közelmúltban megjelent blogbejegyzés, a Project Zero felfedte, hogy 18 nulla-napi biztonsági rések a Samsung Semiconductor által gyártott Exynos Modemekben. Ezek közül négy olyan kritikus hiba, amely az internet-alapsáv távoli kódfuttatásához vezethet, ha a természetben használják ki. A távoli támadónak csak az áldozat telefonszámának ismeretére van szüksége ahhoz, hogy felhasználói beavatkozás nélkül feltörje a telefont az alapsáv szintjén. A kutatók arra a következtetésre jutottak, hogy ezeket a sebezhetőségeket nem túl nehéz kihasználni.
A fennmaradó 14 sebezhetőség azonban nem olyan súlyos. Ezekhez „akár rosszindulatú mobilhálózat-üzemeltetőre, akár az eszközhöz helyi hozzáféréssel rendelkező támadóra van szükség”. A Project Zero 2022 vége és 2023 eleje között jelentette ezeket a sebezhetőségeket a Samsungnak. Több mint 90 nap telt el azóta, hogy a kutatók benyújtottak néhány jelentést, de a koreai cég még nem javította ki a hibákat.
Az Exynos biztonsági rései által érintett eszközök teljes listája
Ezek a nulladik napi sebezhetőségek több mint egy tucat Samsung okostelefont érintenek, köztük a Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, és a Galaxy A04 sorozat.
A Google, amely 2021-ben kezdte el használni a Samsung által gyártott Tensor chipeket a Pixel okostelefonokban, szintén sérülékenynek találta a legújabb Pixel modelleket, azaz a Pixel 6 és Pixel 7 sorozatot. Az érintett Vivo eszközök közé tartozik a Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 és a Vivo X30 sorozat.
Emellett minden Exynos W920 lapkakészlettel rendelkező viselhető termék is ki van téve ezeknek a biztonsági hibáknak.. Ezek közé tartozik a Samsung Galaxy Watch 4 és Galaxy Watch 5 sorozata is. Végül, ezek az Exynos modem biztonsági rései az Exynos Auto T5123 lapkakészletet használó járműveket is érintik. A Project Zero hivatalos kiadása szerint a Google Pixel eszközök márciusi frissítése javítja a problémákat.
A frissítés már elérhető a Pixel 7 sorozathoz, de a Pixel 6 sorozat még várat magára. A sérülékenységek látszólag a többi érintett eszközön kijavítatlanul maradnak.
Ideiglenes védelmi intézkedésként a Project Zero vezetője, Tim Willis azt tanácsolja a felhasználóknak, hogy kapcsolják ki a Wi-Fi-hívásokat és a Voice-over-LTE-t (VoLTE). Ez „eltávolítja a biztonsági rések kihasználásának kockázatát” az érintett eszközökön. Sajnos ezek a funkciók sok ember számára elengedhetetlenek. Reméljük, hogy a Samsung hamarabb kijavítja ezeket a hibákat az Exynos modemeken.
