I ricercatori di sicurezza del team Project Zero di Google hanno scoperto diverse gravi vulnerabilità zero-day sui modem Exynos di Samsung. Le vulnerabilità colpiscono dozzine di smartphone e dispositivi indossabili di Samsung, Google e Vivo. La serie Galaxy S22, Galaxy A53, Galaxy A33, la serie Pixel 6, la serie Pixel 7, la serie Vivo X70 e la serie Vivo S16 sono tra i dispositivi interessati.
In un recente post del blog, Project Zero ha rivelato di aver scoperto 18 zero-vulnerabilità giornaliere nei modem Exynos prodotti da Samsung Semiconductor. Quattro di questi sono difetti critici che potrebbero portare all’esecuzione di codice remoto da Internet a banda base se sfruttati in natura. Un utente malintenzionato remoto richiederebbe solo di conoscere il numero di telefono della vittima per compromettere un telefono a livello di banda base senza alcuna interazione da parte dell’utente. Queste vulnerabilità non sono troppo difficili da sfruttare, hanno concluso i ricercatori.
Tuttavia, le restanti 14 vulnerabilità non sono così gravi. Richiedono”o un operatore di rete mobile dannoso o un utente malintenzionato con accesso locale al dispositivo”. Project Zero ha segnalato queste vulnerabilità a Samsung tra la fine del 2022 e l’inizio del 2023. Sono passati più di 90 giorni da quando i ricercatori hanno inviato alcuni dei rapporti, ma l’azienda coreana non ha ancora corretto nessuno dei difetti.
Elenco completo dei dispositivi interessati da queste vulnerabilità Exynos
Queste vulnerabilità zero-day interessano oltre una dozzina di smartphone Samsung, tra cui Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, e la serie Galaxy A04.
Google, che ha iniziato a utilizzare i chip Tensor prodotti da Samsung negli smartphone Pixel nel 2021, ha trovato vulnerabili anche tutti i recenti modelli Pixel, ovvero le serie Pixel 6 e Pixel 7. I dispositivi Vivo interessati includono Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 e la serie Vivo X30.
Inoltre, anche qualsiasi prodotto indossabile dotato del chipset Exynos W920 è vulnerabile a questi difetti di sicurezza. Le serie Galaxy Watch 4 e Galaxy Watch 5 di Samsung sono tra queste. Infine, queste vulnerabilità del modem Exynos interessano anche i veicoli che utilizzano il chipset Exynos Auto T5123. Secondo il rilascio ufficiale di Project Zero, l’aggiornamento di marzo di Google per i dispositivi Pixel corregge i problemi.
L’aggiornamento è già disponibile per la serie Pixel 7 ma la serie Pixel 6 lo sta ancora aspettando. Apparentemente le vulnerabilità rimangono senza patch su altri dispositivi interessati.
Come misura di protezione temporanea, Tim Willis, capo di Project Zero, consiglia agli utenti di disattivare le chiamate Wi-Fi e Voice-over-LTE (VoLTE). Ciò”rimuoverà il rischio di sfruttamento di queste vulnerabilità”sui dispositivi interessati. Sfortunatamente, queste funzionalità sono essenziali per molte persone. Ci auguriamo che Samsung corregga questi difetti sui suoi modem Exynos il prima possibile.