Подразделение исследования безопасности Google бьет тревогу относительно ряда уязвимостей, которые он обнаружил в определенных чипах Samsung. На основе этих процессоров построены десятки моделей смартфонов Android, переносных устройств и транспортных средств. Среди уязвимых устройств оказались смартфоны Google Pixel.
Руководитель Google Project Zero Тим Уиллис сказал, что внутренние исследователи безопасности обнаружили и сообщили за последние несколько месяцев о 18 уязвимостях нулевого дня в модемах Samsung Exynos. Среди этих недостатков четыре недостатка высочайшего уровня серьезности, которые могут скомпрометировать пораженные устройства «тихо и удаленно», используя сотовую сеть для излома.
«Тестирования, проведенные Project Zero, подтверждают, что эти четыре уязвимости позволяют злоумышленнику дистанционно скомпрометировать телефон на уровне модема без взаимодействия с пользователем, и требуют лишь, чтобы злоумышленник знал номер телефона жертвы», — сказал Виллис.
Получив возможность удаленно запускать код на уровне модема устройства — по сути, это модемы Exynos, которые превращают сигналы сотовой связи в цифровые данные — злоумышленник сможет не извещая жертву получить почти беспрепятственный доступ к поступающим и выходящим из зараженного устройства данным, включая такой информации, как сотовые звонки, текстовые сообщения и мобильные данные.
Что касается раскрытия информации, то редко можно увидеть, как Google или любая другая исследовательская фирма безопасности бьет тревогу о серьезных уязвимостях до того, как их исправят.Google отметил риск общественности, заявив, что квалифицированные злоумышленники смогут быстро создать оперативный эксплойт.
Исследователь Project Zero Мэдди Стоун написала в Твиттере, что у Samsung было 90 дней, чтобы исправить ошибки, но еще этого не сделали. В марте 2023 года компания Samsung подтвердила в списке безопасности, что несколько модемов Exynos уязвимы, что влияет на нескольких производителей устройств Android, но предоставило немного других деталей.
По данным Project Zero, пострадавшие устройства включают более 10 моделей Samsung, устройств Vivo и собственные телефоны Pixel 6 и Pixel 7 от Google. Пораженные устройства также включают в себя переносные устройства и транспортные средства, которые используют чипы Exynos для подключения к сотовой сети.
Список задетых устройств включает (но не ограничивается ими):
- мобильные устройства Samsung, включая серии S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 и A04;
- мобильные устройства Vivo, включая серии S16, S15, S6, X70, X60 и X30;
- серии Google Pixel 6 и Pixel 7;
- Подключены транспортные средства, использующие чипсет Exynos Auto T5123,
В Google заявили, что поправки будут отличаться в зависимости от производителя, но отметили, что на устройстве Pixel уже установлены мартовские обновления безопасности.
Пока пострадавшие производители не отправят обновления программного обеспечения своим клиентам, Google сообщила, что пользователи, желающие защитить себя, могут отключить звонки Wi-Fi и Voice-over-LTE (VoLTE) в настройках своих устройств, что устранит риск использования этих уязвимостей.Google заявил, что остальные 14 уязвимостей были менее серьезными, поскольку они требовали либо доступа к устройству, либо внутреннего или привилегированного доступа к системам мобильного оператора.