La sfârșitul anului 2022 și începutul anului 2023, Project Zero a raportat optsprezece vulnerabilități în modem-urile Exynos produse de Samsung Semiconductor. Din testele efectuate de Project Zero, cele mai grave patru vulnerabilități permit unui atacator să compromită de la distanță un telefon, fără nicio interacțiune cu utilizatorul.
Atacatorul are nevoie doar să cunoască numărul de telefon al victimei.
Cercetătorii sunt de părere că atacatori calificați ar putea crea rapid un exploit operațional pentru a compromite dispozitivele afectate.
Celelalte paisprezece vulnerabilități conexe nu sunt la fel de grave, deoarece acestea implică posibilitatea ca un operator de rețea mobilă să fie rău intenționat sau ca un atacator să aibă cu acces local la dispozitiv.
Cine este afectat?
Pe baza informațiilor de pe site-urile web publice, care cartografiază chipseturile cu dispozitivele, produsele afectate include, probabil, dispozitive mobile de la Samsung, inclusiv cele din seriile S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 și A04.
Sunt incluse în această listă și dispozitive mobile de la Vivo, inclusiv cele din seriile S16, S15, S6, X70, X60 și X30, dar și aparatele din seriile Pixel 6 și Pixel 7 de la Google și orice vehicule care utilizează chipset-ul Exynos Auto T5123.
Este de așteptat ca termenele de aplicare a patch-urilor să varieze în funcție de producător. De exemplu, dispozitivele Pixel afectate au primit un patch de remediere pentru toate cele patru vulnerabilități în actualizarea de securitate din martie 2023.
Între timp, utilizatorii cu dispozitive afectate se pot proteja de vulnerabilități prin dezactivarea apelurilor Wi-Fi și a apelurilor de voce prin LTE în setările dispozitivului, deși posibilitatea de a modifica această setare poate depinde de operatorul de telefonie.
Utilizatorii sunt încurajați să își actualizeze dispozitivele cât mai curând posibil, pentru a se asigura că rulează cele mai recente versiuni care rezolvă atât vulnerabilitățile de securitate dezvăluite, cât și cele nedezvăluite.
Alte patru vulnerabilități care nu au fost dezvăluite
În conformitate cu politica standard a Project Zero, cercetătorii publică informații despre vulnerabilitățile de securitate documentate la o anumită perioadă de timp după ce le raportează unui furnizor de software sau hardware.
În unele cazuri rare, în care echipa a apreciat că atacatorii ar beneficia semnificativ mai mult decât cei care ar trebui să de protejeze de aceste vulnerabilități, dacă o vulnerabilitate ar fi dezvăluită, aceștia au făcut o excepție de la politică și au amânat divulgarea.
Datorită unei combinații foarte rare a nivelului de acces pe care îl oferă aceste vulnerabilități și a vitezei cu care ar putea fi creat un exploit operațional fiabil, Project Zero a decis să facă o excepție de politică pentru a amâna divulgarea celor patru vulnerabilități care permit executarea de cod de la distanță.
Înființat în 2014, Project Zero este o echipă de cercetători în domeniul securității de la Google care studiază vulnerabilitățile zero-day în sistemele hardware și software de care depind utilizatorii din întreaga lume.
Misiunea echipei este să facă mai dificilă descoperirea și exploatarea vulnerabilităților de securitate și să îmbunătățească siguranța și securitatea Internetului pentru toată lumea.
