જો શોષણ કરવામાં આવે તો, આ ખામીઓ હુમલાખોરોને સંવેદનશીલ માહિતીની અનધિકૃત ઍક્સેસ મેળવવા અથવા સામાન્ય રીતે સમસ્યાઓનું કારણ બની શકે છે.
Google ટીમના સંશોધકો પ્રોજેક્ટ ઝીરો, અનાવરણ તાજેતરમાં એક બ્લોગ પોસ્ટ દ્વારા, ધ 18 નબળાઈઓની શોધ શોધાયેલ en સેમસંગ મોડેમ Exynos 5G/LTE/GSM.
ગૂગલ પ્રોજેક્ટ ઝીરોના પ્રતિનિધિઓના જણાવ્યા મુજબ, કેટલાક વધારાના સંશોધન પછી, કુશળ હુમલાખોરો ઝડપથી કાર્યકારી શોષણ તૈયાર કરી શકશે જે વાયરલેસ મોડ્યુલ સ્તરે રીમોટ કંટ્રોલ મેળવવા માટે પરવાનગી આપે છે, ફક્ત પીડિતનો ફોન નંબર જાણીને. આ હુમલો વપરાશકર્તાને તેની જાણ થયા વિના કરી શકાય છે અને વપરાશકર્તા તરફથી કોઈ પગલાં લેવાની જરૂર નથી, જે શોધાયેલ કેટલીક નબળાઈઓને ગંભીર બનાવે છે.
આ ચાર સૌથી ખતરનાક નબળાઈઓ (સીવીઇ -2023-24033) બેન્ડ ચિપ સ્તરે કોડ એક્ઝેક્યુશનની મંજૂરી આપો પાયો બાહ્ય ઇન્ટરનેટ નેટવર્કની હેરફેર દ્વારા.
2022 ના અંતમાં અને 2023 ની શરૂઆતમાં, પ્રોજેક્ટ ઝીરોએ સેમસંગ સેમિકન્ડક્ટર દ્વારા ઉત્પાદિત એક્ઝીનોસ મોડેમ્સમાં અઢાર શૂન્ય-દિવસની નબળાઈઓની જાણ કરી હતી. આ અઢાર નબળાઈઓમાંથી ચાર સૌથી ગંભીર નબળાઈઓ (CVE-2023-24033 અને અન્ય ત્રણ નબળાઈઓ કે જેને હજુ સુધી CVE-ID સોંપવામાં આવી નથી) એ ઈન્ટરનેટથી બેઝબેન્ડ પર રિમોટ કોડ એક્ઝિક્યુશનની મંજૂરી આપી હતી.
બાકીની 14 નબળાઈઓમાંથી, તે ઉલ્લેખ છે નીચું ગંભીરતા સ્તર છે, કારણ કે હુમલા માટે મોબાઇલ નેટવર્ક ઓપરેટરના ઇન્ફ્રાસ્ટ્રક્ચરની ઍક્સેસ અથવા વપરાશકર્તાના ઉપકરણની સ્થાનિક ઍક્સેસની જરૂર છે. CVE-2023-24033 નબળાઈના અપવાદ સાથે, જેને Google Pixel ઉપકરણો માટે માર્ચના ફર્મવેર અપડેટમાં ઠીક કરવાની દરખાસ્ત કરવામાં આવી હતી, સમસ્યાઓ વણઉકેલાયેલી રહે છે.
અત્યાર સુધી, માત્ર એક જ વસ્તુ જે CVE-2023-24033 નબળાઈ વિશે જાણીતી છે તે એ છે કે તે સત્ર વર્ણન પ્રોટોકોલ (SDP) સંદેશાઓમાં પ્રસારિત સ્વીકાર-પ્રકારની વિશેષતાની ખોટી ફોર્મેટ ચકાસણીને કારણે થાય છે.
પ્રોજેક્ટ ઝીરો દ્વારા પરીક્ષણ પુષ્ટિ કરે છે કે આ ચાર નબળાઈઓ હુમલાખોરને વપરાશકર્તાની ક્રિયાપ્રતિક્રિયા વિના બેઝબેન્ડ સ્તરે ફોનને દૂરસ્થ રીતે સમાધાન કરવાની મંજૂરી આપે છે અને હુમલાખોરને ફક્ત પીડિતનો ફોન નંબર જાણવાની જરૂર છે. મર્યાદિત વધારાના સંશોધન અને વિકાસ સાથે, અમે માનીએ છીએ કે કુશળ હુમલાખોરો અસરગ્રસ્ત ઉપકરણોને શાંતિપૂર્વક અને દૂરસ્થ રીતે સમાધાન કરવા માટે ઝડપથી ઓપરેશનલ શોષણ કરી શકે છે.
સેમસંગ એક્ઝીનોસ ચિપ્સથી સજ્જ ઉપકરણોમાં નબળાઈઓ પ્રગટ થાય છેઉપકરણોને ચિપસેટ્સ અસાઇન કરતી સાર્વજનિક વેબસાઇટ્સની માહિતીના આધારે, અસરગ્રસ્ત ઉત્પાદનોમાં આનો સમાવેશ થવાની સંભાવના છે:
- સેમસંગ મોબાઇલ ઉપકરણો, જેમાં S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 અને A04 શ્રેણીનો સમાવેશ થાય છે;
- Vivo મોબાઇલ ઉપકરણો, જેમાં S16, S15, S6, X70, X60 અને X30 શ્રેણીનો સમાવેશ થાય છે;
- Google ના Pixel 6 અને Pixel 7 શ્રેણીના ઉપકરણો; અને
- Exynos Auto T5123 ચિપસેટનો ઉપયોગ કરતું કોઈપણ વાહન.
જ્યાં સુધી ઉત્પાદકો નબળાઈઓને ઠીક ન કરે ત્યાં સુધી, તે આગ્રહણીય છે વપરાશકર્તાઓ માટે જે VoLTE સપોર્ટને અક્ષમ કરે છે (વોઇસ-ઓવર-એલટીઇ) અને સેટિંગ્સમાં Wi-Fi કૉલિંગ કાર્ય. આ સેટિંગ્સને અક્ષમ કરવાથી આ નબળાઈઓનો ઉપયોગ કરવાનું જોખમ દૂર થશે.
નબળાઈઓના ભયને કારણે અને શોષણના ઝડપી દેખાવની વાસ્તવિકતા, ગૂગલે 4 સૌથી ખતરનાક સમસ્યાઓ માટે અપવાદ કરવાનું નક્કી કર્યું અને સમસ્યાઓના સ્વરૂપ વિશેની માહિતીની જાહેરાતને મુલતવી રાખવી.
હંમેશની જેમ, અમે અંતિમ વપરાશકર્તાઓને શક્ય તેટલી વહેલી તકે તેમના ઉપકરણોને અપડેટ કરવા માટે પ્રોત્સાહિત કરીએ છીએ જેથી ખાતરી કરી શકાય કે તેઓ નવીનતમ બિલ્ડ્સ ચલાવી રહ્યા છે જે જાહેર અને અપ્રગટ સુરક્ષા નબળાઈઓને ઠીક કરે છે.
બાકીની નબળાઈઓ માટે, ઉત્પાદકને સૂચના આપ્યાના 90 દિવસ પછી વિગતો જાહેર કરવાનું શેડ્યૂલ અનુસરવામાં આવશે (નબળાઈઓની માહિતી CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023- અને CVE-26075-2023 -26076-9 હવે બગ ટ્રેકિંગ સિસ્ટમમાં ઉપલબ્ધ છે અને બાકીના 90 મુદ્દાઓ માટે, XNUMX દિવસની રાહ હજુ સુધી સમાપ્ત થઈ નથી).
નોંધાયેલ નબળાઈઓ CVE-2023-2607* જ્યારે NrmmMsgCodec અને NrSmPcoCodec કોડેકમાં અમુક વિકલ્પો અને યાદીઓને ડીકોડ કરતી વખતે બફર ઓવરફ્લોને કારણે થાય છે.
છેલ્લે, જો તમને તેના વિશે વધુ જાણવામાં રસ છે તમે વિગતો ચકાસી શકો છો નીચેની કડીમાં