Project Zero, команда Google по поиску ошибок нулевого дня, обнаружила и сообщила о 18 уязвимостях нулевого дня в чипсетах Samsung Exynos, используемых в мобильных устройствах, носимых устройствах и автомобилях.
О недостатках безопасности модема Exynos сообщалось в период с конца 2022 по начало 2023 года. Четыре из восемнадцати нулевых дней были определены как наиболее серьезные, что позволяет удаленно выполнять код из Интернета в основной полосе частот.
По словам Тима Уиллиса , главы Project Zero, единственной информацией, необходимой для проведения атак, является номер телефона жертвы .
Что еще хуже, с минимальными дополнительными исследованиями опытные злоумышленники могут легко создать эксплойт, способный удаленно скомпрометировать уязвимые устройства, не привлекая внимания жертв.
"Из-за очень редкого сочетания уровня доступа, предоставляемого этими уязвимостями, и скорости, с которой, по нашему мнению, может быть создан надежный операционный эксплойт, мы решили сделать исключение из политики, чтобы отложить раскрытие четырех уязвимостей, которые позволяют — удаленное выполнение кода основной полосы частот", — сказал Уиллис .
Оставшиеся 14 уязвимостей не столь критичны, но все же представлять риск. Для успешной эксплуатации требуется локальный доступ или злонамеренный оператор мобильной сети.
Основываясь на списке уязвимых чипсетов, предоставленном Samsung, список затронутых устройств включает, но, вероятно, не ограничивается:
Мобильные устройства Samsung, в том числе серии S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04;
Мобильные устройства от Vivo, в том числе серии S16, S15, S6, X70, X60 и X30;
Серия устройств Pixel 6 и Pixel 7 от Google;
любые носимые устройства, использующие чипсет Exynos W920; и
любые автомобили, использующие чипсет Exynos Auto T5123.
Обходной путь доступен для уязвимых устройств
Хотя Samsung уже предоставила другим поставщикам обновления безопасности, устраняющие эти уязвимости в затронутых чипсетах, исправления не являются общедоступными и не могут быть применены всеми затронутыми пользователями.
Сроки исправлений каждого производителя для своих устройств будут отличаться, но, например, Google уже устранил CVE-2023-24033 для затронутых устройств Pixel в своих обновлениях безопасности за март 2023 года.
Однако до тех пор, пока исправления не будут доступны, пользователи могут помешать попыткам использования RCE, нацеленным на чипсеты Exynos от Samsung, на своих устройствах, отключив вызовы Wi-Fi и передачу голоса по LTE (VoLTE) для устранения вектора атаки.
Samsung также подтвердила обходной путь Project Zero, заявив, что "пользователи могут отключить вызовы WiFi и VoLTE, чтобы смягчить влияние этой уязвимости".
"Как всегда, мы рекомендуем пользователям как можно скорее обновить свои устройства, чтобы убедиться, что они используют последние сборки, которые устраняют как раскрытые, так и нераскрытые уязвимости безопасности", — добавил Уиллис.
