Penyelidik keselamatan di pasukan Project Zero Google telah menemui pelbagai kerentanan sifar hari yang serius pada modem Exynos Samsung. Kerentanan menjejaskan berpuluh-puluh telefon pintar dan boleh pakai daripada Samsung, Google dan Vivo. Siri Galaxy S22, Galaxy A53, Galaxy A33, siri Pixel 6, siri Pixel 7, siri Vivo X70 dan siri Vivo S16 adalah antara peranti yang terjejas.
Dalam catatan blog, Project Zero mendedahkan bahawa mereka telah menemui 18 sifar-kerentanan hari dalam Modem Exynos yang dihasilkan oleh Samsung Semiconductor. Empat daripadanya adalah kelemahan kritikal yang boleh membawa kepada pelaksanaan kod jauh Internet-to-baseband jika dieksploitasi di alam liar. Penyerang jauh hanya perlu mengetahui nombor telefon mangsa untuk menjejaskan telefon pada tahap jalur asas tanpa interaksi pengguna. Kerentanan ini tidak terlalu sukar untuk dieksploitasi, para penyelidik membuat kesimpulan.
Walau bagaimanapun, 14 kelemahan yang selebihnya tidaklah begitu teruk. Mereka memerlukan”sama ada pengendali rangkaian mudah alih yang berniat jahat atau penyerang dengan akses tempatan kepada peranti”. Project Zero melaporkan kelemahan ini kepada Samsung antara lewat 2022 dan awal 2023. Sudah lebih 90 hari sejak penyelidik menyerahkan beberapa laporan tetapi firma Korea itu masih belum menambal sebarang kelemahan.
Senarai penuh peranti yang terjejas oleh kelemahan Exynos ini
Kerentanan sifar hari ini menjejaskan lebih sedozen telefon pintar Samsung, termasuk Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, dan siri Galaxy A04.
Google, yang mula menggunakan cip Tensor buatan Samsung dalam telefon pintar Pixel pada tahun 2021, juga mendapati semua model Pixel terbaharu terdedah, iaitu siri Pixel 6 dan Pixel 7. Peranti Vivo yang terjejas termasuk Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 dan siri Vivo X30.
Selain itu, sebarang produk boleh pakai yang menampilkan cipset Exynos W920 juga terdedah kepada kelemahan keselamatan ini. Siri Samsung Galaxy Watch 4 dan Galaxy Watch 5 adalah antaranya. Akhirnya, kelemahan modem Exynos ini turut mempengaruhi kenderaan yang menggunakan cipset Exynos Auto T5123. Menurut keluaran rasmi daripada Project Zero, kemas kini Mac Google untuk peranti Pixel mengatasi masalah tersebut.
Kemas kini sudah tersedia untuk siri Pixel 7 tetapi siri Pixel 6 masih menunggunya. Kerentanan tersebut nampaknya masih belum dipadam pada peranti lain yang terjejas.
Sebagai langkah perlindungan sementara, ketua Project Zero Tim Willis menasihatkan pengguna untuk mematikan panggilan Wi-Fi dan Voice-over-LTE (VoLTE). Ini akan”menghapuskan risiko eksploitasi kelemahan ini”pada peranti yang terjejas. Malangnya, ciri ini penting untuk ramai orang. Kami berharap Samsung akan menambal kelemahan ini pada modem Exynos lebih awal daripada kemudian.
