Ezek több tucat Android-modellben, viselhető eszközökben és járművekben szerepelnek, attól tartva, hogy a hibákat hamarosan felfedezhetik és kihasználhatják.
A Google Project Zero vezetője, Tim Willis elmondta, hogy a házon belüli biztonsági kutatók az elmúlt hónapokban 18 nulladik napi sebezhetőséget találtak és jelentettek a Samsung által gyártott Exynos modemekben, köztük négy olyan, a legmagasabb súlyosságú hibát, amelyek "csendben és távolról", a mobilhálózaton keresztül veszélyeztethetik az érintett eszközöket.
"A Project Zero által végzett tesztek megerősítik, hogy ez a négy sebezhetőség lehetővé teszi a támadó számára, hogy távolról, felhasználói beavatkozás nélkül kompromittáljon egy telefont az alapsáv szintjén, és ehhez mindössze az szükséges, hogy a támadó ismerje az áldozat telefonszámát" - mondta Willis.
Azzal, hogy a támadó képes távolról kódot futtatni a készülék alapsáv szintjén - lényegében a mobiljeleket digitális adatokká alakító Exynos-modemek -, a támadó szinte korlátlan hozzáférést kaphat az érintett eszközön be- és kiáramló adatokhoz, beleértve a mobilhívásokat, szöveges üzeneteket és mobiladatokat, anélkül, hogy az áldozatot figyelmeztetné.
Ritkán fordul elő, hogy a Google - vagy bármelyik biztonsági kutatócég - riadót fújjon a súlyos sebezhetőségek miatt, mielőtt azokat befoltoznák. A Google felhívta a figyelmet a nyilvánosságot fenyegető kockázatra, és kijelentette, hogy a gyakorlott támadók "korlátozott kutatással és erőfeszítéssel gyorsan képesek lennének egy működőképes exploitot létrehozni".
Maddie Stone, a Project Zero kutatója a Twitteren azt írta, hogy a Samsungnak 90 napja volt a hibák befoltozására, de még nem tette meg.
End-users still don't have patches 90 days after report.... https://t.co/dkA9kuzTso
— Maddie Stone (@maddiestone) March 16, 2023
A Samsung egy 2023. márciusi biztonsági listában megerősítette, hogy több Exynos modem sebezhető, ami több Android készülékgyártót érint, de kevés egyéb részletet közölt.
A Project Zero szerint az érintett készülékek között közel egy tucat Samsung modell, Vivo készülékek és a Google saját Pixel 6 és Pixel 7 készülékei is szerepelnek. Az érintett eszközök között vannak olyan viselhető eszközök és járművek is, amelyek a mobilhálózathoz való csatlakozásban az Exynos chipekre támaszkodnak.
Az érintett eszközök listája a következőket tartalmazza (nem teljes lista):
A Google közölte, hogy a javítások gyártótól függően változnak, de megjegyezte, hogy a Pixel készülékei már a márciusi biztonsági frissítésekkel javítottak.
Amíg az érintett gyártók nem juttatják el a szoftverfrissítéseket ügyfeleiknek, a Google szerint a védekezni kívánó felhasználók kikapcsolhatják a Wi-Fi hívásokat és a Voice-over-LTE (VoLTE) szolgáltatást a készülékük beállításaiban, ami "megszünteti a szóban forgó sebezhetőségek kihasználásának kockázatát".
A Google szerint a fennmaradó 14 sebezhetőség kevésbé súlyos, mivel ezekhez vagy a készülékhez való hozzáférés, vagy a mobilszolgáltató rendszereihez való bennfentes vagy privilegizált hozzáférés szükséges.
