Peneliti keamanan di tim Project Zero Google telah menemukan beberapa kerentanan zero-day yang serius pada modem Samsung Exynos. Kerentanan memengaruhi lusinan ponsel cerdas dan perangkat yang dapat dikenakan dari Samsung, Google, dan Vivo. Seri Galaxy S22, Galaxy A53, Galaxy A33, seri Pixel 6, seri Pixel 7, seri Vivo X70, dan seri Vivo S16 adalah beberapa perangkat yang terpengaruh.
Dalam postingan blog, Project Zero mengungkapkan bahwa mereka telah menemukan 18 nol-kerentanan hari di Modem Exynos yang diproduksi oleh Samsung Semiconductor. Empat di antaranya adalah kelemahan kritis yang dapat menyebabkan eksekusi kode jarak jauh Internet-ke-baseband jika dieksploitasi secara liar. Penyerang jarak jauh hanya perlu mengetahui nomor telepon korban untuk mengkompromikan telepon di tingkat baseband tanpa interaksi pengguna. Kerentanan ini tidak terlalu sulit untuk dieksploitasi, demikian kesimpulan para peneliti.
Namun, 14 kerentanan yang tersisa tidak separah itu. Mereka membutuhkan”baik operator jaringan seluler jahat atau penyerang dengan akses lokal ke perangkat”. Project Zero melaporkan kerentanan ini ke Samsung antara akhir 2022 dan awal 2023. Sudah lebih dari 90 hari sejak peneliti mengirimkan beberapa laporan, tetapi perusahaan Korea tersebut belum memperbaiki kekurangannya.
Daftar lengkap perangkat yang terpengaruh oleh kerentanan Exynos ini
Kerentanan zero-day ini memengaruhi selusin smartphone Samsung, termasuk Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, dan seri Galaxy A04.
Google, yang mulai menggunakan chip Tensor buatan Samsung di smartphone Pixel pada tahun 2021, juga menemukan bahwa semua model Pixel terbaru rentan, yaitu seri Pixel 6 dan Pixel 7. Perangkat Vivo yang terpengaruh termasuk seri Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60, dan Vivo X30.
Selain itu, produk wearable apa pun dengan chipset Exynos W920 juga rentan terhadap kelemahan keamanan ini. Seri Samsung Galaxy Watch 4 dan Galaxy Watch 5 adalah di antaranya. Terakhir, kerentanan modem Exynos ini juga memengaruhi kendaraan yang menggunakan chipset Exynos Auto T5123. Menurut rilis resmi dari Project Zero, pembaruan Maret Google untuk perangkat Pixel memperbaiki masalah tersebut.
Pembaruan sudah tersedia untuk seri Pixel 7 tetapi seri Pixel 6 masih menunggu. Kerentanan tampaknya tetap belum diperbaiki pada perangkat lain yang terpengaruh.
Sebagai tindakan perlindungan sementara, kepala Project Zero, Tim Willis, menyarankan pengguna untuk menonaktifkan panggilan Wi-Fi dan Voice-over-LTE (VoLTE). Ini akan”menghapus risiko eksploitasi kerentanan ini”pada perangkat yang terpengaruh. Sayangnya, fitur ini sangat penting bagi banyak orang. Kami berharap Samsung akan menambal kekurangan ini pada modem Exynos-nya lebih cepat.