Google Project Zero hat eine Reihe gefährlicher Sicherheitslücken in Samsungs Exynos-Chips aufgezeigt, die ohne Benutzerinteraktion ausgenutzt werden können, und einem Bedrohungsakteur die vollständige Kontrolle über Geräte gewähren, von Android-Smartphones bis hin zu Wearables und Fahrzeugen.
18 Zero-Days im Exynos W920-Chipsatz und im Exynos Auto T5123-Chipsatz
Die 18 Zero-Day-Schwachstellen betreffen den Exynos W920-Chipsatz und den Exynos Auto T5123-Chipsatz. Des 18 Mängel, vier könnten verwendet werden, um die Ausführung von Internet-zu-Basisband-Remotecode zu ermöglichen, wie von Google Project Zero in letzter Zeit gemeldet 2022 und früh 2023. Laut Tim Willis, Leiter des Google Project Zero, Diese vier Schwachstellen ermöglichen einem Angreifer den Fernzugriff auf ein Telefon auf Basisbandebene, indem er einfach die Telefonnummer eines Opfers kennt.
CVE-2023-24033
Von diesen, die vier schwersten (CVE-2023-24033 und drei weitere, denen noch CVE-IDs zugewiesen werden müssen) aktiviert Remotecodeausführung über Internet-zu-Basisband. Gemäß der Beschreibung der National Vulnerability Database von CVE-2023-24033, Das Sitzungsbeschreibungsprotokoll (SDP) Die Formattypen des Moduls werden vom Samsung Exynos Modem nicht richtig überprüft 5123, Exynos-Modem 5300, Exynos 980, Exynos 1080, und Exynos Auto T512 Basisbandmodem-Chipsätze, was zu einem möglichen Denial-of-Service führt.
Tests durch Project Zero bestätigten, dass diese es einem Angreifer ermöglichen könnten, ein Telefon im Basisband aus der Ferne zu kompromittieren, nur die Telefonnummer ihres Opfers verlangen. Geschickte Angreifer könnten wahrscheinlich mit minimaler zusätzlicher Forschung und Entwicklung einen Exploit erstellen, um dies unbemerkt und aus der Ferne zu tun. Die verbleibenden vierzehn Schwachstellen (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 und neun weitere, denen noch CVE-IDs zugewiesen werden müssen) waren nicht so heftig, da sie entweder einen böswilligen Mobilfunkbetreiber oder einen Angreifer mit lokalem Zugriff auf das Gerät erforderten.
Benutzer von Pixel 6 und 7 Handys haben bereits einen Fix mit dem März erhalten 2023 Sicherheitsupdates. Jedoch, wann andere Geräte ihre Patches erhalten, liegt im Zeitplan des Herstellers. Um das Risiko zu verringern, den Fehlern ausgesetzt zu sein, Benutzern wird empfohlen, Wi-Fi-Anrufe und Voice over LTE zu deaktivieren (Volte) in ihren Geräteeinstellungen.
Was ist ein Zero-Day?
A “Zero-Day-Schwachstelle” ist eine Sicherheitslücke in Software oder Hardware, die der Öffentlichkeit unbekannt ist und noch nicht vom Software-/Hardwareentwickler behoben wurde. Das bedeutet, dass die Schwachstelle ausgenutzt werden kann, bevor jemand davon Kenntnis hat, was es zu einem „Zero-Day“-Exploit macht. Der Exploit kann verschiedene Probleme verursachen, bevor er erkannt wird, macht es besonders gefährlich.