นักวิจัยด้านความปลอดภัยของทีม Project Zero ของ Google ได้ค้นพบช่องโหว่ Zero-day ที่ร้ายแรงหลายรายการบนโมเด็ม Exynos ของ Samsung ช่องโหว่นี้ส่งผลกระทบต่อสมาร์ทโฟนและอุปกรณ์สวมใส่หลายสิบรุ่นจาก Samsung, Google และ Vivo Galaxy S22 series, Galaxy A53, Galaxy A33, Pixel 6 series, Pixel 7 series, Vivo X70 series และ Vivo S16 series อยู่ในกลุ่มอุปกรณ์ที่ได้รับผลกระทบ
ใน บล็อกโพสต์ Project Zero เปิดเผยว่าพวกเขาได้ค้นพบ 18 ศูนย์-ช่องโหว่รายวันในโมเด็ม Exynos ที่ผลิตโดย Samsung Semiconductor ข้อบกพร่อง 4 ประการเหล่านี้เป็นข้อบกพร่องร้ายแรงที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกลระหว่างอินเทอร์เน็ตกับเบสแบนด์ หากนำไปใช้ในทางที่ไม่เหมาะสม ผู้โจมตีจากระยะไกลต้องการเพียงทราบหมายเลขโทรศัพท์ของเหยื่อเพื่อประนีประนอมโทรศัพท์ในระดับเบสแบนด์โดยที่ผู้ใช้ไม่ต้องโต้ตอบ ช่องโหว่เหล่านี้ไม่ยากที่จะใช้ประโยชน์ นักวิจัยสรุป
แม้ว่าช่องโหว่ที่เหลืออีก 14 รายการจะไม่รุนแรงเท่า พวกเขาต้องการ”ผู้ให้บริการเครือข่ายมือถือที่เป็นอันตรายหรือผู้โจมตีที่สามารถเข้าถึงอุปกรณ์ได้”Project Zero รายงานช่องโหว่เหล่านี้แก่ Samsung ระหว่างปลายปี 2565 ถึงต้นปี 2566 เป็นเวลากว่า 90 วันแล้วที่นักวิจัยส่งรายงานบางส่วน แต่บริษัทเกาหลียังไม่ได้แก้ไขข้อบกพร่องใดๆ เลย
รายชื่ออุปกรณ์ทั้งหมดที่ได้รับผลกระทบจากช่องโหว่ Exynos เหล่านี้
ช่องโหว่ Zero-day เหล่านี้ส่งผลกระทบต่อสมาร์ทโฟน Samsung มากกว่าสิบรุ่น รวมถึง Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, และ Galaxy A04 ซีรีส์
Google ซึ่งเริ่มใช้ชิป Tensor ที่ผลิตโดย Samsung ในสมาร์ทโฟน Pixel ในปี 2021 ยังพบว่า Pixel รุ่นล่าสุดทุกรุ่นมีช่องโหว่ เช่น Pixel 6 และ Pixel 7 series อุปกรณ์ Vivo ที่ได้รับผลกระทบ ได้แก่ Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 และ Vivo X30 series
นอกจากนี้ ผลิตภัณฑ์สวมใส่ใด ๆ ที่มีชิปเซ็ต Exynos W920 ก็เสี่ยงต่อข้อบกพร่องด้านความปลอดภัยเหล่านี้เช่นกัน. Galaxy Watch 4 และ Galaxy Watch 5 ของ Samsung เป็นหนึ่งในนั้น ประการสุดท้าย ช่องโหว่ของโมเด็ม Exynos เหล่านี้ยังส่งผลกระทบต่อยานพาหนะที่ใช้ชิปเซ็ต Exynos Auto T5123 ตามการเปิดตัวอย่างเป็นทางการจาก Project Zero การอัปเดตเดือนมีนาคมของ Google สำหรับอุปกรณ์ Pixel จะแก้ไขปัญหาดังกล่าว
การอัปเดตพร้อมใช้งานแล้วสำหรับ Pixel 7 series แต่ Pixel 6 series ยังรออยู่ ช่องโหว่ดังกล่าวดูเหมือนจะยังไม่ได้รับการแก้ไขในอุปกรณ์อื่นๆ ที่ได้รับผลกระทบ
ในฐานะมาตรการป้องกันชั่วคราว Tim Willis หัวหน้าของ Project Zero แนะนำให้ผู้ใช้ปิดการโทรผ่าน Wi-Fi และ Voice-over-LTE (VoLTE) วิธีนี้จะ “ขจัดความเสี่ยงในการแสวงหาประโยชน์จากช่องโหว่เหล่านี้” บนอุปกรณ์ที่ได้รับผลกระทบ น่าเสียดายที่ฟีเจอร์เหล่านี้จำเป็นสำหรับคนจำนวนมาก เราหวังว่า Samsung จะแก้ไขข้อบกพร่องเหล่านี้บนโมเด็ม Exynos ในไม่ช้านี้