אם מנוצלים, פגמים אלה יכולים לאפשר לתוקפים לקבל גישה לא מורשית למידע רגיש או לגרום לבעיות בדרך כלל
חוקרים מצוות גוגל פרויקט אפס, נחשף לאחרונה באמצעות פוסט בבלוג, ה גילוי של 18 נקודות תורפה זוהה en מודמים של סמסונג Exynos 5G/LTE/GSM.
לפי נציגי Google Project Zero, לאחר מחקר נוסף, תוקפים מיומנים יוכלו להכין במהירות ניצול עובד המאפשר להשיג שליטה מרחוק ברמת המודול האלחוטי, בידיעה רק את מספר הטלפון של הקורבן. ההתקפה יכולה להתבצע מבלי שהמשתמש מודע לכך ואינה מצריכה כל פעולה מהמשתמש, מה שהופך חלק מהחולשות שזוהו לקריטיות.
לאס ארבע נקודות התורפה המסוכנות ביותר (CVE-2023-24033) לאפשר ביצוע קוד ברמת שבב הלהקה בסיס באמצעות מניפולציה של רשתות אינטרנט חיצוניות.
בסוף 2022 ותחילת 2023, Project Zero דיווח על שמונה עשר נקודות תורפה של יום אפס במודמי Exynos המיוצרים על ידי Samsung Semiconductor. ארבעת הפגיעויות החמורות ביותר מבין שמונה-עשרה (CVE-2023-24033 ושלוש פגיעויות נוספות שטרם הוקצו להן מזהי CVE-ID) אפשרו ביצוע קוד מרחוק מהאינטרנט לפס הבסיס.
מתוך 14 נקודות התורפה הנותרות, מוזכר כי יש רמת חומרה נמוכה יותר, שכן המתקפה דורשת גישה לתשתית של מפעיל הרשת הסלולרית או גישה מקומית למכשיר המשתמש. למעט הפגיעות CVE-2023-24033, שהוצעה לתקן בעדכון הקושחה של מרץ עבור מכשירי Google Pixel, הבעיות נותרו לא פתורות.
עד כה, הדבר היחיד שידוע על הפגיעות של CVE-2023-24033 הוא שהיא נגרמת מבדיקת פורמט שגוי של תכונת accept-type המשודרת בהודעות Session Description Protocol (SDP).
בדיקה על ידי Project Zero מאשרת שארבעת הפגיעויות הללו מאפשרות לתוקף לסכן מרחוק טלפון ברמת פס הבסיס ללא אינטראקציה של המשתמש, ורק מחייבות את התוקף לדעת את מספר הטלפון של הקורבן. עם מחקר ופיתוח מוגבלים נוספים, אנו מאמינים שתוקפים מיומנים יכולים ליצור במהירות ניצול תפעולי כדי לסכן בשקט ומרחוק מכשירים מושפעים.
הפגיעויות מתבטאות במכשירים המצוידים בשבבי Samsung Exynos, sבהתבסס על מידע מאתרים ציבוריים שמקצים ערכות שבבים למכשירים, המוצרים המושפעים עשויים לכלול:
- מכשירים ניידים של סמסונג, כולל סדרות S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ו-A04;
- מכשירי Vivo ניידים, כולל סדרות S16, S15, S6, X70, X60 ו-X30;
- סדרת המכשירים Pixel 6 ו-Pixel 7 של גוגל; ו
- כל רכב המשתמש בערכת השבבים Exynos Auto T5123.
עד שהיצרנים יתקנו את נקודות התורפה, מומלץ למשתמשים זה משבית את תמיכת VoLTE (Voice-over-LTE) ופונקציית שיחות Wi-Fi בהגדרות. השבתת הגדרות אלו תבטל את הסיכון לניצול פגיעויות אלו.
בשל סכנת הפגיעות והריאליזם של הופעתו המהירה של ניצול, גוגל החליטה לעשות חריג עבור 4 הבעיות המסוכנות ביותר ודחיית חשיפת המידע על מהות הבעיות.
כמו תמיד, אנו מעודדים את משתמשי הקצה לעדכן את המכשירים שלהם בהקדם האפשרי כדי להבטיח שהם מריצים את ה-builds העדכניים ביותר שמתקנים פרצות אבטחה שנחשפו ולא נחשפו.
עבור שאר הפגיעויות, לוח הזמנים של חשיפת הפרטים יבוצע 90 יום לאחר ההודעה ליצרן (מידע על פרצות CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 ו CVE-2023-26076 -9-90 זמין כעת במערכת מעקב אחר באגים ועבור XNUMX הבעיות הנותרות, המתנה של XNUMX יום טרם פג).
הפגיעויות המדווחות CVE-2023-2607* נגרמות על ידי הצפת מאגר בעת פענוח אפשרויות ורשימות מסוימות ב-Codec NrmmMsgCodec ו- NrSmPcoCodec.
לבסוף, אם אתה מעוניין לדעת יותר על כך אתה יכול לבדוק את הפרטים בקישור הבא.