Beveiligingsonderzoekers van het Project Zero-team van Google hebben meerdere ernstige zero-day-kwetsbaarheden ontdekt op de Exynos-modems van Samsung. De kwetsbaarheden treffen tientallen smartphones en wearables van Samsung, Google en Vivo. De Galaxy S22-serie, Galaxy A53, Galaxy A33, Pixel 6-serie, Pixel 7-serie, Vivo X70-serie en de Vivo S16-serie behoren tot de getroffen apparaten.
In een recente blogpost onthulde Project Zero dat ze 18 nul-day-kwetsbaarheden in Exynos-modems geproduceerd door Samsung Semiconductor. Vier daarvan zijn kritieke gebreken die kunnen leiden tot uitvoering van internet-naar-basisband externe code als deze in het wild wordt uitgebuit. Een aanvaller op afstand hoeft alleen het telefoonnummer van het slachtoffer te weten om een telefoon op basisbandniveau binnen te dringen zonder tussenkomst van de gebruiker. Deze kwetsbaarheden zijn niet zo moeilijk te exploiteren, concluderen de onderzoekers.
De overige 14 kwetsbaarheden zijn echter niet zo ernstig. Ze vereisen”ofwel een kwaadwillende mobiele netwerkoperator of een aanvaller met lokale toegang tot het apparaat”. Project Zero heeft deze kwetsbaarheden tussen eind 2022 en begin 2023 aan Samsung gemeld. Het is meer dan 90 dagen geleden dat de onderzoekers enkele rapporten hebben ingediend, maar het Koreaanse bedrijf heeft nog geen enkele fout gepatcht.
Volledige lijst met apparaten die getroffen zijn door deze Exynos-kwetsbaarheden
Deze zero-day-kwetsbaarheden treffen meer dan een dozijn Samsung-smartphones, waaronder de Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, en Galaxy A04-serie.
Google, dat in 2021 Tensor-chips van Samsung begon te gebruiken in Pixel-smartphones, heeft ook geconstateerd dat alle recente Pixel-modellen kwetsbaar zijn, namelijk de Pixel 6-en Pixel 7-serie. Getroffen Vivo-apparaten zijn onder meer de Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 en de Vivo X30-serie.
Bovendien is elk draagbaar product met de Exynos W920-chipset ook kwetsbaar voor deze beveiligingsfouten.. De Galaxy Watch 4-en Galaxy Watch 5-serie van Samsung zijn daar een van. Ten slotte treffen deze Exynos-modemkwetsbaarheden ook voertuigen die gebruikmaken van de Exynos Auto T5123-chipset. Volgens de officiële release van Project Zero lost de maart-update van Google voor Pixel-apparaten de problemen op.
De update is al beschikbaar voor de Pixel 7-serie, maar de Pixel 6-serie laat nog op zich wachten. De kwetsbaarheden blijven schijnbaar ongepatcht op andere getroffen apparaten.
Als tijdelijke beschermingsmaatregel adviseert Tim Willis, hoofd van Project Zero, gebruikers om bellen via wifi en Voice-over-LTE (VoLTE) uit te schakelen. Dit zal”het exploitatierisico van deze kwetsbaarheden verwijderen”op getroffen apparaten. Helaas zijn deze functies voor veel mensen essentieel. We hopen dat Samsung deze fouten op zijn Exynos-modems zo snel mogelijk zal patchen.