18 podatności w chipach Exynos

22 Marca 2023

16 marca 2023 r. na blogu zespołu projektu Zero z Google, ukazała się informacja o wykryciu 18 podatności 0-day w chipach Exynos wyprodukowanych przez firmę Samsung. Podatności zostały zgłoszone do producenta pod koniec 2022 roku oraz na początku 2023 r. Do tej pory nie wydano poprawek bezpieczeństwa, dlatego zgodnie z polityką Google, informacje zostały opublikowane po 90 dniach.

Cztery najpoważniejsze podatności (CVE-2023-24033 oraz trzy inne bez nadanego CVE-ID) pozwalają na zdalne wykonanie kodu bez żadnej interakcji użytkownika. Atakujący musi jedynie znać numer telefonu ofiary. Czternaście pozostałych podatności (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 oraz dziewięć innych bez nadanego CVE-ID) nie jest aż tak krytycznych, gdyż wymagają one złośliwego operatora sieci komórkowej lub lokalnego dostępu do urządzenia.

Najprawdopodobniej podatne urządzenia (lista opublikowana przez Project Zero na podstawie informacji z https://semiconductor.samsung.com):

  • Smartfony Samsung z serii: S22, M33, M13, M12, A71, A53, A33, A21, A13, A12, A04;
  • Smartfony Vivo z serii: S16, S15, S6, X70, X60, X30;
  • Google Pixel z serii 6 i 7;
  • Pojazdy korzystające z chipa Exynos Auto T5123.

Do czasu wydania aktualizacji na podatne urządzenia, badacze Google rekomendują wyłączenie Wi-Fi calling oraz VoLTE (połączenia głosowe przez sieć Wi-Fi oraz LTE/4G).

Źródła:
Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems
Product Security Update
Google finds 18 zero-day vulnerabilities in Samsung Exynos chipsets
Uwaga użytkownicy telefonów z Androidem. Ważne ostrzeżenie

Opublikowane przez: CERT EXATEL

Inne artykuły_