Google Project Zero ujawnił osiemnaście luk typu 0-day w modemach Exynos wyprodukowanych przez firmę Samsung Semiconductor. Cztery najpoważniejsze podatności (CVE-2023-24033 i trzy inne luki, którym nie przypisano jeszcze identyfikatorów) umożliwiają zdalne wykonanie kodu z Internetu bezpośrednio do pasma podstawowego. Testy przeprowadzone przez Project Zero potwierdzają, że luki umożliwiają atakującemu zdalne złamanie zabezpieczeń telefonu Samsung wyposażonego w podatny komponent bez interakcji użytkownika i wymagają jedynie, aby haker znał numer telefonu ofiary. Google twierdzi, że przy ograniczonych dodatkowych badaniach i rozwoju wykwalifikowani atakujący byliby w stanie szybko stworzyć exploit operacyjny, aby w cichy sposób zagrozić zdalnie podatnym urządzeniom.
Czternaście innych powiązanych luk, np. CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 czy CVE-2023-26076 zostało oznaczonych jako nie tak poważne, gdyż wymagają albo interakcji złośliwego operatora sieci komórkowej, albo atakującego z lokalnym dostępem do urządzenia.
Urządzenia, których dotyczy problem
Poradnik Samsung Semiconductor zawiera listę chipsetów Exynos, na które opisywane podatności mają wpływ. Na podstawie informacji z publicznych witryn internetowych mapujących chipsety do urządzeń, produkty, których dotyczy problem, prawdopodobnie obejmują:
- urządzenia mobilne firmy Samsung, w tym z serii S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 i A04;
- urządzenia mobilne firmy Vivo, w tym z serii S16, S15, S6, X70, X60 i X30;
- serie urządzeń Pixel 6 i Pixel 7 od Google;
- wszystkie pojazdy korzystające z chipsetu Exynos Auto T5123.
Widzimy więc, że lista urządzeń jest obszerna i zawiera między innymi popularne modele telefonów komórkowych.
Harmonogram poprawek
Terminy wydania aktualizacji będą się różnić w zależności od producenta (na przykład dotknięte podatnością urządzenia Pixel otrzymały już poprawkę dotyczącą luki CVE-2023-24033 w aktualizacji zabezpieczeń z marca 2023). W międzyczasie użytkownicy urządzeń, których dotyczy problem, mogą chronić się przed dziurami pasma podstawowego umożliwiającymi zdalne wykonanie kodu o których mowa, wyłączając połączenia Wi-Fi i Voice-over-LTE (VoLTE) w ustawieniach urządzenia. Wyłączenie tych ustawień usunie ryzyko wykorzystania podatności. Jak zawsze zachęcamy użytkowników końcowych do jak najszybszej aktualizacji swoich urządzeń, aby upewnić się, że korzystają z najnowszych kompilacji naprawiających zarówno ujawnione, jak i nieujawnione luki w zabezpieczeniach.
Słowo na koniec
Google Project Zero zdecydowało się nie ujawniać szczegółów technicznych podatności ze względu na możliwość odniesienia znacznych korzyści przez atakujących.
„Ze względu na bardzo rzadką kombinację poziomu dostępu zapewnianego przez te luki oraz szybkości, z jaką można stworzyć niezawodny exploit operacyjny, zdecydowaliśmy się zrobić wyjątek od zasad, aby opóźnić ujawnienie luk, które umożliwiają połączenie internetowe i zdalne wykonanie kodu pasma podstawowego. Będziemy kontynuować naszą historię przejrzystości, publicznie udostępniając informacje w tej sprawie”.