Google Project Zero har fremhævet et sæt farlige sikkerhedsfejl i Samsungs Exynos-chips, som kan udnyttes uden brugerinteraktion, og give en trusselsaktør fuldstændig kontrol over enheder, lige fra Android-smartphones til wearables og køretøjer.
18 Zero-Days i Exynos W920 Chipset og Exynos Auto T5123 Chipset
Den 18 Zero-day sårbarheder involverer Exynos W920-chipsættet og Exynos Auto T5123-chipsættet. Af 18 fejl, fire kunne bruges til at aktivere internet-til-basebånd fjernudførelse af kode, som rapporteret af Google Project Zero sent 2022 og tidligt 2023. Ifølge Tim Willis, leder af Google Project Zero, disse fire sårbarheder tillader en angriber at få fjernadgang til en telefon på basebånd-niveau blot ved at kende et offers telefonnummer.
CVE-2023-24033
Af disse, de fire mest alvorlige (CVE-2023-24033 og tre andre, der endnu ikke er blevet tildelt CVE-ID'er) aktiveret fjernkørsel af programkode via internet til basebånd. Ifølge National Vulnerability Databases beskrivelse af CVE-2023-24033, Sessionsbeskrivelsesprotokollen (SDP) modulets formattyper kontrolleres ikke korrekt af Samsung Exynos Modem 5123, Exynos modem 5300, Exynos 980, Exynos 1080, og Exynos Auto T512 baseband modem chipsæt, resulterer i et potentielt lammelsesangreb.
Tester af Project Zero bekræftet, at disse kunne give en angriber mulighed for eksternt at kompromittere en telefon på basebåndet, kræver kun deres offers telefonnummer. Dygtige angribere kan sandsynligvis skabe en udnyttelse til lydløst og eksternt at gøre det med minimal yderligere forskning og udvikling. De resterende fjorten sårbarheder (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 og ni andre, der endnu ikke er blevet tildelt CVE-ID'er) var ikke så alvorlige, da de enten krævede en ondsindet mobilnetværksoperatør eller en angriber med lokal adgang til enheden.
Brugere af Pixel 6 og 7 håndsæt har allerede fået en rettelse med marts 2023 sikkerhedsopdateringer. Men, hvornår andre enheder modtager deres patches er op til producentens tidsplan. For at mindske risikoen for at blive udsat for fejlene, brugere rådes til at slå Wi-Fi-opkald og Voice over LTE fra (VoLTE) i deres enhedsindstillinger.
Hvad er en nul-dag?
A “zero-day sårbarhed” er en sikkerhedsfejl i software eller hardware, der er ukendt for offentligheden og endnu ikke er blevet rettet af software-/hardwareudvikleren. Det betyder, at sårbarheden kan udnyttes, før nogen er klar over det, gør det til en "zero-day" udnyttelse. Udnyttelsen kan forårsage forskellige problemer, før den opdages, gør det særligt farligt.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: