Natuklasan ng mga mananaliksik sa seguridad sa Project Zero team ng Google ang maraming seryosong zero-day na kahinaan sa mga Exynos modem ng Samsung. Ang mga kahinaan ay nakakaapekto sa dose-dosenang mga smartphone at mga naisusuot mula sa Samsung, Google, at Vivo. Ang serye ng Galaxy S22, Galaxy A53, Galaxy A33, Pixel 6 series, Pixel 7 series, Vivo X70 series, at ang Vivo S16 series ay kabilang sa mga apektadong device.
Sa isang kamakailang blog post, isiniwalat ng Project Zero na natuklasan nila ang 18 zero-araw na mga kahinaan sa Exynos Modem na ginawa ng Samsung Semiconductor. Apat sa mga iyon ay mga kritikal na depekto na maaaring humantong sa pagpapatupad ng remote code ng Internet-to-baseband kung pinagsamantalahan sa ligaw. Kakailanganin lamang ng isang malayuang umaatake na malaman ang numero ng telepono ng biktima upang makompromiso ang isang telepono sa antas ng baseband na walang pakikipag-ugnayan ng user. Ang mga kahinaang ito ay hindi masyadong mahirap gamitin, ayon sa mga mananaliksik.
Ang natitirang 14 na mga kahinaan ay hindi gaanong kalubha. Nangangailangan sila ng”alinman sa isang malisyosong mobile network operator o isang umaatake na may lokal na access sa device.”Iniulat ng Project Zero ang mga kahinaan na ito sa Samsung sa pagitan ng huling bahagi ng 2022 at unang bahagi ng 2023. Mahigit 90 araw na ang nakalipas mula noong isinumite ng mga mananaliksik ang ilan sa mga ulat ngunit hindi pa natatama ng Korean firm ang alinman sa mga depekto.
Buong listahan ng mga device na apektado ng mga kahinaan ng Exynos na ito
Ang mga zero-day na kahinaan na ito ay nakakaapekto sa mahigit isang dosenang Samsung smartphone, kabilang ang Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, at serye ng Galaxy A04.
Natuklasan din ng Google, na nagsimulang gumamit ng mga Tensor chip na gawa ng Samsung sa mga Pixel smartphone noong 2021, na vulnerable ang lahat ng kamakailang modelo ng Pixel, ibig sabihin, Pixel 6 at Pixel 7 series. Kabilang sa mga apektadong Vivo device ang Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60, at ang Vivo X30 series.
Bukod pa rito, ang anumang naisusuot na produkto na nagtatampok ng Exynos W920 chipset ay mahina din sa mga bahid ng seguridad na ito.. Kabilang sa mga ito ang serye ng Galaxy Watch 4 at Galaxy Watch 5 ng Samsung. Sa wakas, ang mga kahinaan ng Exynos modem na ito ay nakakaapekto rin sa mga sasakyang gumagamit ng Exynos Auto T5123 chipset. Ayon sa opisyal na paglabas mula sa Project Zero, ang pag-update ng Google sa Marso para sa mga Pixel device ay nag-aayos ng mga isyu.
Available na ang update para sa Pixel 7 series ngunit hinihintay pa rin ito ng Pixel 6 series. Ang mga kahinaan ay tila nananatiling hindi naka-patch sa iba pang mga apektadong device.
Bilang pansamantalang panukalang proteksyon, pinapayuhan ng pinuno ng Project Zero na si Tim Willis ang mga user na i-off ang Wi-Fi calling at Voice-over-LTE (VoLTE).”Aalisin nito ang panganib sa pagsasamantala ng mga kahinaang ito”sa mga apektadong device. Sa kasamaang palad, ang mga tampok na ito ay mahalaga para sa maraming tao. Umaasa kami na tatambalan ng Samsung ang mga bahid na ito sa mga Exynos modem nito sa lalong madaling panahon.
