शोषण केल्यास, या त्रुटी हल्लेखोरांना संवेदनशील माहितीवर अनधिकृत प्रवेश मिळवू शकतात किंवा सामान्यत: समस्या निर्माण करू शकतात
Google टीममधील संशोधक प्रोजेक्ट झिरो, अनावरण अलीकडे एका ब्लॉग पोस्टद्वारे, द 18 असुरक्षा शोध आढळले en सॅमसंग मोडेम Exynos 5G/LTE/GSM.
गुगल प्रोजेक्ट झिरोच्या प्रतिनिधींच्या मते, काही अतिरिक्त संशोधनानंतर, कुशल हल्लेखोर त्वरीत कार्यरत शोषण तयार करण्यास सक्षम होतील ज्यामुळे वायरलेस मॉड्यूल स्तरावर रिमोट कंट्रोल मिळू शकेल, फक्त पीडिताचा फोन नंबर जाणून घ्या. वापरकर्त्याला याची जाणीव न होता हल्ला केला जाऊ शकतो आणि वापरकर्त्याकडून कोणतीही कारवाई करण्याची आवश्यकता नाही, जे काही आढळलेल्या भेद्यता गंभीर बनवते.
अगोदर निर्देश केलेल्या बाबीसंबंधी बोलताना चार सर्वात धोकादायक असुरक्षा (सीव्हीई -2023-24033) बँड चिप स्तरावर कोडच्या अंमलबजावणीला अनुमती द्या बेस बाह्य इंटरनेट नेटवर्कच्या हाताळणीद्वारे.
2022 च्या उत्तरार्धात आणि 2023 च्या सुरुवातीस, प्रोजेक्ट झिरोने सॅमसंग सेमीकंडक्टरद्वारे उत्पादित Exynos मॉडेममध्ये अठरा शून्य-दिवस असुरक्षा नोंदवल्या. या अठरा असुरक्षांपैकी चार सर्वात गंभीर असुरक्षा (CVE-2023-24033 आणि तीन इतर असुरक्षा ज्यांना अद्याप CVE-आयडी नियुक्त केले गेले नाहीत) इंटरनेटवरून बेसबँडवर रिमोट कोड कार्यान्वित करण्याची परवानगी दिली.
उर्वरित 14 असुरक्षांपैकी, असे नमूद केले आहे कमी तीव्रता पातळी आहे, कारण हल्ल्यासाठी मोबाइल नेटवर्क ऑपरेटरच्या पायाभूत सुविधांमध्ये प्रवेश आवश्यक आहे किंवा वापरकर्त्याच्या डिव्हाइसवर स्थानिक प्रवेश आवश्यक आहे. CVE-2023-24033 भेद्यतेचा अपवाद वगळता, जो Google Pixel डिव्हाइसेससाठी मार्च फर्मवेअर अपडेटमध्ये निश्चित करण्याचा प्रस्ताव होता, समस्यांचे निराकरण झाले नाही.
आतापर्यंत, CVE-2023-24033 असुरक्षिततेबद्दल फक्त एकच गोष्ट ज्ञात आहे ती म्हणजे सत्र वर्णन प्रोटोकॉल (SDP) संदेशांमध्ये प्रसारित केलेल्या स्वीकृती-प्रकार विशेषताच्या चुकीच्या फॉरमॅट तपासणीमुळे.
प्रोजेक्ट झिरो द्वारे चाचणी पुष्टी करते की या चार असुरक्षा आक्रमणकर्त्याला वापरकर्त्याच्या परस्परसंवादाशिवाय बेसबँड स्तरावर दूरस्थपणे फोनशी तडजोड करण्याची परवानगी देतात आणि फक्त आक्रमणकर्त्याला पीडिताचा फोन नंबर माहित असणे आवश्यक आहे. मर्यादित अतिरिक्त संशोधन आणि विकासासह, आम्हाला विश्वास आहे की कुशल हल्लेखोर प्रभावित उपकरणांना शांतपणे आणि दूरस्थपणे तडजोड करण्यासाठी एक ऑपरेशनल शोषण तयार करू शकतात.
Samsung Exynos चीपसह सुसज्ज असलेल्या उपकरणांमध्ये भेद्यता दिसून येतेडिव्हाइसेसना चिपसेट नियुक्त करणाऱ्या सार्वजनिक वेबसाइटवरील माहितीच्या आधारे, प्रभावित उत्पादनांमध्ये हे समाविष्ट होण्याची शक्यता आहे:
- S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 आणि A04 मालिकेसह सॅमसंग मोबाईल उपकरणे;
- Vivo मोबाइल उपकरणे, S16, S15, S6, X70, X60 आणि X30 मालिकेसह;
- Google च्या Pixel 6 आणि Pixel 7 मालिका डिव्हाइसेस; आणि
- Exynos Auto T5123 चिपसेट वापरणारे कोणतेही वाहन.
उत्पादक असुरक्षा दुरुस्त करेपर्यंत, याची शिफारस केली जाते वापरकर्त्यांसाठी जे VoLTE समर्थन अक्षम करते (व्हॉइस-ओव्हर-एलटीई) आणि सेटिंग्जमध्ये वाय-फाय कॉलिंग फंक्शन. या सेटिंग्ज अक्षम केल्याने या असुरक्षा वापरण्याचा धोका दूर होईल.
असुरक्षिततेच्या धोक्यामुळे आणि शोषणाच्या वेगवान स्वरूपाचा वास्तववाद, Google ने 4 सर्वात धोकादायक समस्यांना अपवाद करण्याचा निर्णय घेतला आणि समस्यांच्या स्वरूपाविषयी माहितीचे प्रकटीकरण पुढे ढकलणे.
नेहमीप्रमाणे, आम्ही अंतिम वापरकर्त्यांना त्यांची डिव्हाइसेस शक्य तितक्या लवकर अपडेट करण्यासाठी प्रोत्साहित करतो जेणेकरून ते उघड आणि अघोषित सुरक्षा भेद्यता दूर करणारे नवीनतम बिल्ड चालवत आहेत.
उर्वरित भेद्यतेसाठी, निर्मात्याला सूचना दिल्यानंतर ९० दिवसांनी तपशील प्रकटीकरण वेळापत्रकाचे पालन केले जाईल (असुरक्षा CVE-90-2023, CVE-26072-2023, CVE-26073-2023, CVE-26074- आणि CVE-2023-26075 -2023-26076 आता बग ट्रॅकिंग सिस्टममध्ये उपलब्ध आहे आणि उर्वरित 9 समस्यांसाठी, 90 दिवसांची प्रतीक्षा अद्याप संपलेली नाही).
NrmmMsgCodec आणि NrSmPcoCodec कोडेक्समधील काही पर्याय आणि सूची डीकोड करताना नोंदवलेल्या असुरक्षा CVE-2023-2607* बफर ओव्हरफ्लोमुळे होतात.
शेवटी, आपल्याला त्याबद्दल अधिक जाणून घेण्यात स्वारस्य असल्यास आपण तपशील तपासू शकता पुढील लिंकवर