Підрозділ дослідження безпеки Google б’є на сполох щодо ряду вразливостей, які він виявив у певних чипах Samsung. На базі цих процесорів побудовані десятки моделей смартфонів Android, переносних пристроїв і транспортних засобів. Серед уразливих пристроїв виявилися також смартфони Google Pixel.
Керівник Google Project Zero Тім Вілліс сказав, що внутрішні дослідники безпеки виявили та повідомили за останні кілька місяців про 18 уразливостей нульового дня в модемах Samsung Exynos. Серед цих недоліків чотири недоліки найвищого рівня серйозності, які можуть скомпрометувати уражені пристрої «тихо та віддалено», використовуючи стільникову мережу для зламу.
«Тестування, проведені Project Zero, підтверджують, що ці чотири вразливості дозволяють зловмиснику дистанційно скомпрометувати телефон на рівні модему без взаємодії з користувачем, і вимагають лише, щоб зловмисник знав номер телефону жертви», — сказав Вілліс.
Отримавши можливість віддалено запускати код на рівні модему пристрою — по суті, це модеми Exynos, які перетворюють сигнали стільникового зв’язку на цифрові дані — зловмисник зможе не сповіщаючи жертву отримати майже безперешкодний доступ до даних, що надходять і виходять із зараженого пристрою, включно з такою інформацією як стільникові дзвінки, текстові повідомлення та мобільні дані.
Що стосується розкриття інформації, то рідко можна побачити, як Google або будь-яка інша дослідницька фірма безпеки б’є на сполох про серйозні вразливості до того, як їх виправлять. Google відзначив ризик для громадськості, заявивши, що кваліфіковані зловмисники зможуть швидко створити оперативний експлойт.
Дослідник Project Zero Медді Стоун написала в Твіттері, що у Samsung було 90 днів, щоб виправити помилки, але ще цього не зробили. У березні 2023 року компанія Samsung підтвердила у списку безпеки, що кілька модемів Exynos уразливі, що впливає на кількох виробників пристроїв Android, але надала небагато інших деталей.
За даними Project Zero, постраждалі пристрої включають понад десять моделей Samsung, пристроїв Vivo та власні телефони Pixel 6 і Pixel 7 від Google. Уражені пристрої також включають переносні пристрої та транспортні засоби, які використовують чипи Exynos для підключення до стільникової мережі.
Список зачеплених пристроїв включає (але не обмежується ними):
- мобільні пристрої Samsung, включаючи серії S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 і A04;
- мобільні пристрої Vivo, включно з серіями S16, S15, S6, X70, X60 і X30;
- серії Google Pixel 6 і Pixel 7;
- Підключені транспортні засоби, які використовують чіпсет Exynos Auto T5123,
У Google заявили, що виправлення відрізнятимуться залежно від виробника, але зазначили, що на пристрої Pixel уже встановлено березневі оновлення безпеки.
Поки постраждалі виробники не надішлють оновлення програмного забезпечення своїм клієнтам, Google повідомила, що користувачі, які хочуть захистити себе, можуть вимкнути дзвінки Wi-Fi та Voice-over-LTE (VoLTE) у налаштуваннях своїх пристроїв, що усуне ризик використання цих уразливостей.
Google заявив, що решта 14 уразливостей були менш серйозними, оскільки вони вимагали або доступу до пристрою, або внутрішнього або привілейованого доступу до систем мобільного оператора.
