Analitycy bezpieczeństwa z zespołu Google Project Zero odkryli wiele poważnych luk dnia zerowego w modemach Exynos firmy Samsung. Luki dotyczą dziesiątek smartfonów i urządzeń ubieralnych firm Samsung, Google i Vivo. Seria Galaxy S22, Galaxy A53, Galaxy A33, seria Pixel 6, seria Pixel 7, seria Vivo X70 i seria Vivo S16 należą do urządzeń, których dotyczy problem.
W niedawnym post na blogu, Project Zero ujawnił, że odkryli 18 zero-day luki w modemach Exynos produkowanych przez firmę Samsung Semiconductor. Cztery z nich to krytyczne luki, które mogą prowadzić do zdalnego wykonania kodu z Internetu do pasma podstawowego, jeśli zostaną wykorzystane w środowisku naturalnym. Osoba atakująca zdalnie musiałaby znać numer telefonu ofiary, aby skompromitować telefon na poziomie pasma podstawowego bez interakcji użytkownika. Badacze doszli do wniosku, że te luki nie są zbyt trudne do wykorzystania.
Pozostałe 14 luk nie jest jednak tak poważnych. Wymagają one „albo złośliwego operatora sieci komórkowej, albo atakującego z lokalnym dostępem do urządzenia”. Project Zero zgłosił te luki firmie Samsung między końcem 2022 a początkiem 2023 roku. Minęło ponad 90 dni od przesłania niektórych raportów przez naukowców, ale koreańska firma nie załatała jeszcze żadnej z usterek.
Pełna lista urządzeń, których dotyczą te luki w Exynos
Te luki dnia zerowego dotyczą kilkunastu smartfonów Samsung, w tym Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, i serii Galaxy A04.
Google, który w 2021 roku zaczął używać chipów Tensor wyprodukowanych przez Samsunga w smartfonach Pixel, stwierdził również, że wszystkie najnowsze modele Pixela, tj. seria Pixel 6 i Pixel 7, są podatne na ataki. Urządzenia Vivo, których dotyczy problem, obejmują serie Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 i Vivo X30.
Ponadto każdy produkt do noszenia z chipsetem Exynos W920 jest również podatny na te luki w zabezpieczeniach. Wśród nich są serie Galaxy Watch 4 i Galaxy Watch 5 firmy Samsung. Wreszcie, te luki w zabezpieczeniach modemu Exynos dotyczą również pojazdów korzystających z chipsetu Exynos Auto T5123. Według oficjalnego wydania Project Zero, marcowa aktualizacja Google dla urządzeń Pixel rozwiązuje problemy.
Aktualizacja jest już dostępna dla serii Pixel 7, ale seria Pixel 6 wciąż na nią czeka. Luki najwyraźniej pozostają niezałatane na innych urządzeniach, których dotyczy problem.
W ramach tymczasowego środka ochrony szef Project Zero, Tim Willis, radzi użytkownikom wyłączenie połączeń Wi-Fi i Voice-over-LTE (VoLTE). To „usunie ryzyko wykorzystania tych luk” na urządzeniach, których dotyczy problem. Niestety, te funkcje są niezbędne dla wielu osób. Mamy nadzieję, że Samsung załata te błędy w swoich modemach Exynos wcześniej niż później.
