यदि शोषण किया जाता है, तो ये खामियां हमलावरों को संवेदनशील जानकारी तक अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती हैं या आम तौर पर समस्याएं पैदा कर सकती हैं
Google टीम के शोधकर्ता प्रोजेक्ट जीरो का अनावरण किया हाल ही में एक ब्लॉग पोस्ट के माध्यम से, 18 कमजोरियों की खोज का पता चला en सैमसंग मोडेम Exynos 5G/LTE/GSM।
Google प्रोजेक्ट ज़ीरो प्रतिनिधियों के अनुसार, कुछ अतिरिक्त शोध के बाद, कुशल हमलावर जल्दी से एक कार्यशील शोषण तैयार करने में सक्षम होंगे जो वायरलेस मॉड्यूल स्तर पर रिमोट कंट्रोल प्राप्त करने की अनुमति देता है, केवल पीड़ित का फ़ोन नंबर जानने के लिए। उपयोगकर्ता को इसकी जानकारी के बिना हमला किया जा सकता है और इसके लिए उपयोगकर्ता से किसी कार्रवाई की आवश्यकता नहीं होती है, जो कुछ खोजी गई कमजोरियों को महत्वपूर्ण बनाता है।
लास चार सबसे खतरनाक भेद्यताएँ (CVE-2023-24033) बैंड चिप स्तर पर कोड निष्पादन की अनुमति दें आधार बाहरी इंटरनेट नेटवर्क के हेरफेर के माध्यम से.
2022 के अंत और 2023 की शुरुआत में, प्रोजेक्ट जीरो ने सैमसंग सेमीकंडक्टर द्वारा निर्मित Exynos मॉडेम में अठारह शून्य-दिन कमजोरियों की सूचना दी। इन अठारह भेद्यताओं में से चार सबसे गंभीर (CVE-2023-24033 और तीन अन्य भेद्यताएँ जिन्हें अभी तक CVE-IDs नहीं सौंपी गई हैं) इंटरनेट से बेसबैंड तक रिमोट कोड निष्पादन की अनुमति देती हैं।
शेष 14 कमजोरियों में से, यह उल्लेख है कि कम गंभीरता का स्तर है, चूंकि हमले के लिए मोबाइल नेटवर्क ऑपरेटर के बुनियादी ढांचे तक पहुंच या उपयोगकर्ता के डिवाइस तक स्थानीय पहुंच की आवश्यकता होती है। CVE-2023-24033 भेद्यता के अपवाद के साथ, जिसे Google पिक्सेल उपकरणों के लिए मार्च फर्मवेयर अपडेट में तय करने का प्रस्ताव दिया गया था, मुद्दे अनसुलझे हैं।
अब तक, केवल CVE-2023-24033 भेद्यता के बारे में जाना जाता है कि यह सत्र विवरण प्रोटोकॉल (SDP) संदेशों में प्रेषित स्वीकृति-प्रकार विशेषता की गलत प्रारूप जाँच के कारण होता है।
प्रोजेक्ट ज़ीरो द्वारा परीक्षण इस बात की पुष्टि करता है कि ये चार भेद्यताएँ एक हमलावर को उपयोगकर्ता के संपर्क के बिना बेसबैंड स्तर पर एक फोन को दूरस्थ रूप से समझौता करने की अनुमति देती हैं, और केवल हमलावर को पीड़ित का फ़ोन नंबर जानने की आवश्यकता होती है। सीमित अतिरिक्त अनुसंधान और विकास के साथ, हमारा मानना है कि कुशल हमलावर चुपचाप और दूरस्थ रूप से प्रभावित उपकरणों से समझौता करने के लिए एक परिचालन शोषण कर सकते हैं।
सैमसंग Exynos चिप्स से लैस उपकरणों में भेद्यता प्रकट होती है, एसउपकरणों को चिपसेट असाइन करने वाली सार्वजनिक वेबसाइटों की जानकारी के आधार पर, प्रभावित उत्पादों में शामिल होने की संभावना है:
- सैमसंग मोबाइल डिवाइस, जिसमें S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 और A04 श्रृंखला शामिल हैं;
- S16, S15, S6, X70, X60 और X30 श्रृंखला सहित विवो मोबाइल डिवाइस;
- Google की Pixel 6 और Pixel 7 श्रृंखला के उपकरण; और
- Exynos Auto T5123 चिपसेट का उपयोग करने वाला कोई भी वाहन।
जब तक निर्माता कमजोरियों को ठीक नहीं करते, यह अनुशंसा की जाती है उपयोगकर्ताओं के लिए जो VoLTE सपोर्ट को डिसेबल कर देता है (वॉयस-ओवर-एलटीई) और सेटिंग्स में वाई-फाई कॉलिंग फ़ंक्शन। इन सेटिंग्स को अक्षम करने से इन कमजोरियों का फायदा उठाने का जोखिम समाप्त हो जाएगा।
कमजोरियों के खतरे के कारण और एक शोषण की तीव्र उपस्थिति का यथार्थवाद, Google ने 4 सबसे खतरनाक समस्याओं के लिए एक अपवाद बनाने का निर्णय लिया और समस्याओं की प्रकृति के बारे में जानकारी के प्रकटीकरण को स्थगित करना।
हमेशा की तरह, हम अंतिम उपयोगकर्ताओं को अपने उपकरणों को जल्द से जल्द अपडेट करने के लिए प्रोत्साहित करते हैं ताकि यह सुनिश्चित हो सके कि वे नवीनतम बिल्ड चला रहे हैं जो प्रकट और अज्ञात सुरक्षा कमजोरियों को ठीक करते हैं।
शेष कमजोरियों के लिए, विवरण प्रकटीकरण अनुसूची का पालन निर्माता को अधिसूचना के 90 दिनों के बाद किया जाएगा (भेद्यताओं पर जानकारी CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 और CVE-2023-26076 -9-90 अब बग ट्रैकिंग सिस्टम में उपलब्ध है और शेष XNUMX मुद्दों के लिए, XNUMX दिन की प्रतीक्षा अभी समाप्त नहीं हुई है)।
रिपोर्ट की गई भेद्यता CVE-2023-2607* NrmmMsgCodec और NrSmPcoCodec codecs में कुछ विकल्पों और सूचियों को डिकोड करते समय बफर ओवरफ्लो के कारण होती है।
अंत में, यदि आप इसके बारे में अधिक जानने में रुचि रखते हैं आप विवरण देख सकते हैं निम्नलिखित लिंक में