Diversi popolari telefoni Android con chip Exynos prodotti da Samsung hanno una falla di sicurezza che potrebbe dare agli hacker un controllo spaventoso sui dispositivi.Project Zero, un team di analisti della sicurezza di Google che mira a proteggere le persone da attacchi mirati, ha rilevato diciotto vulnerabilità 0-day nei modem Exynos. Una vulnerabilità di 0 giorni è un difetto precedentemente sconosciuto al fornitore del prodotto.
Quattro vulnerabilità potrebbero consentire agli hacker di accedere facilmente ai telefoni interessati
I difetti sono stati scoperti tra la fine del 2022 e l’inizio del 2023 e quattro dei consentivano l’esecuzione di codice remoto da Internet a banda base. Un utente malintenzionato avrebbe bisogno solo del numero di telefono di qualcuno per sfruttare questa vulnerabilità e compromettere il telefono della vittima in modo silenzioso e remoto.
I test condotti da Project Zero confermano che queste quattro vulnerabilità consentono a un utente malintenzionato di compromettere in remoto un telefono a livello di banda base senza alcuna interazione da parte dell’utente e richiedono solo che l’aggressore conosca il numero di telefono della vittima. Con attività di ricerca e sviluppo aggiuntive limitate, riteniamo che gli aggressori esperti sarebbero in grado di creare rapidamente un exploit operativo per compromettere i dispositivi interessati in modo silenzioso e remoto.”-Tim Willis, Project Zero
Le restanti vulnerabilità correlate non sono così gravi e potrebbero richiedono un operatore di rete mobile dannoso o l’accesso diretto a un dispositivo.
Smartphone e orologi interessati
Samsung è a conoscenza del bug Exynos
Secondo sito web di Samsung, le vulnerabilità si trovano nel suo Exynos Modem 5123 e Exynos Modem 5300, e Exynos 980 e Exynos 1080 chipset (tramite 9to5Google). Questi chip si trovano nella seguenti dispositivi: Samsung Galaxy S22 (solo le varianti alimentate da Exynos vendute nel Regno Unito e in Europa), A71, A53, A33, A21s, A13, A12, A04, M3 Serie 3, M13 e M12Samsung Galaxy Watch 5 e Watch 4Serie Vivo S16, S15, S6, X70, X60 e X30Google Pixel 7 duo, gamma Pixel 6 e Pixel 6aL’aggiornamento software di marzo per Pixel 7 ha risolto la vulnerabilità più grave, CVE-2023-24033. Secondo quanto riferito, Pixel 6 e 6a riceveranno l’aggiornamento entro questo mese. I dispositivi Samsung e Vivo rimangono non protetti, anche se Samsung è stata avvisata del problema 90 giorni fa.
Il ricercatore di Project Zero afferma che Samsung è stata avvisata del problema molto tempo fa
Project Zero consiglia che fino a quando non verrà implementata una correzione, gli utenti che desiderano proteggere i propri dispositivi dalle vulnerabilità dell’esecuzione di codice remoto in banda base dovrebbero disattivare Chiamate Wi-Fi e Voice-over-LTE (VoLTE).
Poiché i quattro bug critici sono facili da sfruttare, Project Zero ha deciso di fare un’eccezione alla sua politica di divulgazione e non rivela ulteriori dettagli che può rendere più facile il lavoro di un hacker.