Beberapa ponsel Android populer dengan chip Exynos buatan Samsung memiliki lubang keamanan yang dapat memberi peretas kendali yang menakutkan atas perangkat tersebut.Project Zero, tim analis keamanan di Google yang bertujuan untuk melindungi orang dari serangan yang ditargetkan, telah menemukan delapan belas kerentanan 0 hari di modem Exynos. Kerentanan 0 hari adalah kelemahan yang sebelumnya tidak diketahui oleh vendor produk.
Empat kerentanan dapat memberi peretas akses mudah ke ponsel yang terpengaruh
Kelemahan tersebut ditemukan antara akhir 2022 dan awal 2023 dan empat dari mereka diizinkan untuk eksekusi kode jarak jauh internet-ke-baseband. Penyerang hanya memerlukan nomor telepon seseorang untuk mengeksploitasi kerentanan ini dan menyusupi ponsel korban secara diam-diam dan dari jarak jauh.
Pengujian yang dilakukan oleh Project Zero mengonfirmasi bahwa keempat kerentanan tersebut memungkinkan penyerang menyusupi ponsel dari jarak jauh pada tingkat pita dasar tanpa interaksi pengguna, dan hanya mengharuskan penyerang mengetahui nomor telepon korban. Dengan penelitian dan pengembangan tambahan yang terbatas, kami percaya bahwa penyerang yang terampil akan dapat dengan cepat membuat eksploitasi operasional untuk mengkompromikan perangkat yang terpengaruh secara diam-diam dan dari jarak jauh.”-Tim Willis, Project Zero
Kerentanan terkait yang tersisa tidak separah dan akan memerlukan operator jaringan seluler jahat atau akses langsung ke perangkat.
Ponsel cerdas dan jam tangan yang terpengaruh
Samsung mengetahui bug Exynos
Menurut situs web Samsung, kerentanannya ada di Exynos Modem 5123 dan Exynos Modem 5300, serta Exynos 980 dan Exynos 1080 chipset (melalui 9to5Google). Chip ini terdapat di perangkat berikut: Samsung Galaxy S22 (hanya varian bertenaga Exynos yang dijual di Inggris dan Eropa), A71, A53, A33, A21s, A13, A12, A04, M3 Seri 3, M13, dan M12Samsung Galaxy Watch 5 dan Watch 4Vivo S16, S15, S6, X70, X60 dan seri X30Google Pixel 7 duo, rentang Pixel 6, dan Pixel 6aPembaruan perangkat lunak Maret untuk Pixel 7 mengatasi kerentanan paling parah, CVE-2023-24033. Pixel 6 dan 6a dilaporkan akan mendapatkan pembaruan akhir bulan ini. Perangkat Samsung dan Vivo tetap tidak terlindungi, meskipun Samsung telah diberitahu tentang masalah tersebut 90 hari yang lalu.
Peneliti Project Zero mengatakan Samsung telah diberitahu tentang masalah ini sejak lama
Project Zero menyarankan bahwa hingga perbaikan diluncurkan, pengguna yang ingin melindungi perangkat mereka dari kerentanan eksekusi kode jarak jauh baseband harus menonaktifkan Panggilan Wi-Fi dan Voice-over-LTE (VoLTE).
Karena keempat bug kritis mudah dieksploitasi, Project Zero telah memutuskan untuk membuat pengecualian terhadap kebijakan pengungkapannya dan tidak mengungkapkan detail tambahan yang dapat membuat pekerjaan hacker lebih mudah.