Samsung 製の Exynos チップを搭載したいくつかの一般的な Android スマートフォンにはセキュリティ ホールがあり、ハッカーがデバイスを恐ろしいほど制御できるようになる可能性があります。Project Zero は、標的型攻撃から人々を守ることを目的とした Google のセキュリティ アナリスト チームで、Exynos モデムに 18 のゼロデイ脆弱性を発見しました。ゼロデイ脆弱性は、製品ベンダーがこれまで知らなかった欠陥です。
4 つの脆弱性により、ハッカーが影響を受けるスマートフォンに簡単にアクセスできる可能性があります
この欠陥は、2022 年後半から 2023 年初頭にかけて発見され、そのうちの 4 つが発見されました。それらは、インターネットからベースバンドへのリモート コード実行を可能にしました。攻撃者がこの脆弱性を悪用し、被害者の電話を黙ってリモートで侵害するには、誰かの電話番号だけが必要です。
Project Zero が実施したテストでは、これら 4 つの脆弱性により、攻撃者がベースバンド レベルで電話をリモートで侵害できることが確認されています。ユーザーの操作は不要で、攻撃者が被害者の電話番号を知っていることのみを必要とします。追加の研究と開発が限られているため、熟練した攻撃者は、影響を受けるデバイスをサイレントかつリモートで侵害する運用上のエクスプロイトを迅速に作成できると考えています。」-プロジェクト ゼロのティム ウィリス
残りの関連する脆弱性はそれほど深刻ではなく、悪意のあるモバイル ネットワーク オペレーターまたはデバイスへの直接アクセスが必要です。
影響を受けるスマートフォンと時計
Samsung は Exynos のバグを認識しています
Samsung の Web サイト、脆弱性は Exynos Modem 5123 と Exynos Modem 5300、および Exynos 980 と Exynos 1080 にありますチップセット (9to5Google 経由)。これらのチップは、次のデバイス:Samsung Galaxy S22 (英国およびヨーロッパで販売されている Exynos 搭載モデルのみ)、A71、A53、A33、A21s、A13、A12、A04、M3 3、M13、および M12 シリーズSamsung Galaxy Watch 5 および Watch 4Vivo S16、S15、S6、X70、X60、および X30 シリーズGoogle Pixel 7 duo、Pixel 6 シリーズ、および Pixel 6aPixel 7 の 3 月のソフトウェア アップデートは、最も深刻な脆弱性である CVE に対処しました-2023-24033. Pixel 6 および 6a は、今月後半にアップデートを取得すると伝えられています。 Samsung は 90 日前にこの問題について警告を受けていましたが、Samsung と Vivo のデバイスは保護されていないままです。
Project Zero の研究者は、Samsung はずっと前にこの問題について警告を受けていたと述べています
Project Zero は、修正が公開されるまで、ベースバンドのリモート コード実行の脆弱性からデバイスを保護したいユーザーはオフにする必要があるとアドバイスしていますWi-Fi 通話と Voice-over-LTE (VoLTE)。
4 つの重大なバグが悪用されやすいため、Project Zero はその開示ポリシーに例外を設けることを決定し、追加の詳細を明らかにしていません。ハッカーの仕事を容易にするかもしれません。
