Google の Project Zero チームのセキュリティ研究者は、Samsung の Exynos モデムに複数の重大なゼロデイ脆弱性を発見しました。この脆弱性は、Samsung、Google、および Vivo の多数のスマートフォンとウェアラブルに影響を与えます。 Galaxy S22 シリーズ、Galaxy A53、Galaxy A33、Pixel 6 シリーズ、Pixel 7 シリーズ、Vivo X70 シリーズ、Vivo S16 シリーズが影響を受けるデバイスです。
最近の ブログ投稿で、Project Zero は 18 個のゼロを発見したことを明らかにしました-Samsung Semiconductor 製 Exynos モデムの脆弱性。そのうちの 4 つは、実際に悪用された場合、インターネットからベースバンドへのリモート コード実行につながる重大な欠陥です。リモートの攻撃者は、被害者の電話番号を知るだけで、ユーザーの操作なしでベースバンド レベルで電話を侵害できます。これらの脆弱性を悪用するのはそれほど難しくないと、研究者は結論付けています。
残りの 14 の脆弱性はそれほど深刻ではありません。 「悪意のあるモバイル ネットワーク オペレーターか、デバイスへのローカル アクセス権を持つ攻撃者」が必要です。 Project Zero は、2022 年後半から 2023 年初頭にかけて、これらの脆弱性を Samsung に報告しました。研究者がいくつかのレポートを提出してから 90 日以上が経過しましたが、韓国の会社はまだ欠陥にパッチを当てていません。
これらの Exynos 脆弱性の影響を受けるデバイスの完全なリスト
これらのゼロデイ脆弱性は、Galaxy S22、Galaxy M33、Galaxy M13、Galaxy M12、Galaxy A71、Galaxy A53、Galaxy A33、Galaxy A21、Galaxy A13、Galaxy A12、 Galaxy A04シリーズ。
2021 年に Pixel スマートフォンで Samsung 製の Tensor チップの使用を開始した Google も、最近のすべての Pixel モデル、つまり Pixel 6 および Pixel 7 シリーズに脆弱性があることを発見しました。影響を受ける Vivo デバイスには、Vivo S16、Vivo S15、Vivo S6、Vivo X70、Vivo X60、および Vivo X30 シリーズが含まれます。
さらに、Exynos W920 チップセットを搭載したウェアラブル製品も、これらのセキュリティ上の欠陥に対して脆弱です。. SamsungのGalaxy Watch 4およびGalaxy Watch 5シリーズはその中にあります.最後に、これらの Exynos モデムの脆弱性は、Exynos Auto T5123 チップセットを使用する車両にも影響します。 Project Zero の公式リリースによると、Pixel デバイス向けの Google の 3 月のアップデートで問題が修正されています。
Pixel 7 シリーズのアップデートは既に利用可能ですが、Pixel 6 シリーズはまだそれを待っています。影響を受ける他のデバイスでは、脆弱性にパッチが適用されていないようです。
Project Zero の責任者である Tim Willis は、一時的な保護手段として、Wi-Fi 通話と Voice-over-LTE (VoLTE) をオフにするようユーザーにアドバイスしています。これにより、影響を受けるデバイスで「これらの脆弱性の悪用リスクが排除されます」。残念ながら、これらの機能は多くの人にとって不可欠です。 Samsung が Exynos モデムのこれらの欠陥に遅かれ早かれパッチを当てることを願っています。
