Các nhà nghiên cứu bảo mật tại nhóm Project Zero của Google đã phát hiện ra nhiều lỗ hổng zero-day nghiêm trọng trên modem Exynos của Samsung. Các lỗ hổng ảnh hưởng đến hàng chục điện thoại thông minh và thiết bị đeo của Samsung, Google và Vivo. Dòng Galaxy S22, Galaxy A53, Galaxy A33, dòng Pixel 6, dòng Pixel 7, dòng Vivo X70 và dòng Vivo S16 nằm trong số các thiết bị bị ảnh hưởng.
Trong một bài đăng trên blog, Project Zero tiết lộ rằng họ đã phát hiện ra 18 điểm không lỗ hổng trong Modem Exynos do Samsung Semiconductor sản xuất. Bốn trong số đó là những lỗi nghiêm trọng có thể dẫn đến việc thực thi mã từ xa từ Internet đến băng tần cơ sở nếu bị khai thác ngoài tự nhiên. Kẻ tấn công từ xa sẽ chỉ cần biết số điện thoại của nạn nhân để xâm phạm điện thoại ở cấp độ băng tần cơ sở mà không có sự tương tác của người dùng. Các nhà nghiên cứu kết luận rằng những lỗ hổng này không quá khó khai thác.
Tuy nhiên, 14 lỗ hổng còn lại không quá nghiêm trọng. Chúng yêu cầu “nhà điều hành mạng di động độc hại hoặc kẻ tấn công có quyền truy cập cục bộ vào thiết bị”. Project Zero đã báo cáo các lỗ hổng này cho Samsung từ cuối năm 2022 đến đầu năm 2023. Đã hơn 90 ngày kể từ khi các nhà nghiên cứu gửi một số báo cáo nhưng công ty Hàn Quốc vẫn chưa vá bất kỳ lỗ hổng nào.
Danh sách đầy đủ các thiết bị bị ảnh hưởng bởi các lỗ hổng Exynos này
Những lỗ hổng zero-day này ảnh hưởng đến hơn chục điện thoại thông minh Samsung, bao gồm Galaxy S22, Galaxy M33, Galaxy M13, Galaxy M12, Galaxy A71, Galaxy A53, Galaxy A33, Galaxy A21, Galaxy A13, Galaxy A12, và dòng Galaxy A04.
Google, bắt đầu sử dụng chip Tensor do Samsung sản xuất trong điện thoại thông minh Pixel vào năm 2021, cũng đã phát hiện ra rằng tất cả các mẫu Pixel gần đây đều dễ bị tấn công, tức là dòng Pixel 6 và Pixel 7. Các thiết bị Vivo bị ảnh hưởng bao gồm dòng Vivo S16, Vivo S15, Vivo S6, Vivo X70, Vivo X60 và Vivo X30.
Ngoài ra, bất kỳ sản phẩm thiết bị đeo nào sử dụng chipset Exynos W920 cũng dễ bị ảnh hưởng bởi các lỗi bảo mật này. Dòng Galaxy Watch 4 và Galaxy Watch 5 của Samsung nằm trong số đó. Cuối cùng, các lỗ hổng modem Exynos này cũng ảnh hưởng đến các phương tiện sử dụng chipset Exynos Auto T5123. Theo bản phát hành chính thức từ Project Zero, bản cập nhật tháng 3 của Google cho các thiết bị Pixel đã khắc phục các sự cố.
Bản cập nhật đã có sẵn cho dòng Pixel 7 nhưng dòng Pixel 6 vẫn đang chờ bản cập nhật. Các lỗ hổng dường như vẫn chưa được vá trên các thiết bị bị ảnh hưởng khác.
Như một biện pháp bảo vệ tạm thời, Tim Willis, người đứng đầu Project Zero, khuyên người dùng nên tắt tính năng gọi qua Wi-Fi và Thoại qua LTE (VoLTE). Điều này sẽ “loại bỏ nguy cơ khai thác các lỗ hổng này” trên các thiết bị bị ảnh hưởng. Thật không may, những tính năng này rất cần thiết cho nhiều người. Chúng tôi hy vọng Samsung sẽ sớm vá những lỗ hổng này trên modem Exynos của mình.
