Die Sicherheitsforschungseinheit von Google schlägt Alarm wegen einer Reihe von Schwachstellen, die sie in bestimmten Samsung-Chips gefunden hat, die in Dutzenden von Android-Modellen, Wearables und Fahrzeugen enthalten sind, und befürchtet, dass die Fehler bald entdeckt und ausgenutzt werden könnten.
In einem BlogeintragTim Willis, Leiter von Google Project Zero, sagte, die internen Sicherheitsforscher hätten 18 Zero-Day-Schwachstellen in Exynos-Modems gefunden und gemeldet, die in den letzten Monaten von Samsung hergestellt wurden, darunter vier Fehler mit höchstem Schweregrad, die betroffene Geräte „still und aus der Ferne“ gefährden könnten. über das Mobilfunknetz.
„Von Project Zero durchgeführte Tests bestätigen, dass diese vier Sicherheitslücken es einem Angreifer ermöglichen, ein Telefon auf Basisbandebene ohne Benutzerinteraktion aus der Ferne zu kompromittieren, und dass der Angreifer lediglich die Telefonnummer des Opfers kennen muss“, sagte Willis.
Durch die Möglichkeit, Code auf Basisbandebene eines Geräts aus der Ferne auszuführen – im Wesentlichen die Exynos-Modems, die Mobilfunksignale in digitale Daten umwandeln – wäre ein Angreifer in der Lage, nahezu uneingeschränkten Zugriff auf die Daten zu erhalten, die in ein betroffenes Gerät ein- und ausfließen, einschließlich Mobilfunkanrufe, Textnachrichten und Mobilfunkdaten, ohne das Opfer zu benachrichtigen.
Was die Offenlegung angeht, ist es selten, dass Google – oder irgendein Sicherheitsforschungsunternehmen – bei Sicherheitslücken mit hohem Schweregrad Alarm schlägt, bevor sie gepatcht werden. Google wies die Öffentlichkeit auf das Risiko hin und erklärte, dass erfahrene Angreifer „in der Lage wären, schnell einen operativen Exploit zu erstellen“, mit begrenzter Recherche und Aufwand.
Project Zero-Forscherin Maddie Stone schrieb auf Twitter dass Samsung 90 Tage Zeit hatte, um die Fehler zu beheben, dies aber noch nicht getan hat.
Samsung bestätigt in a Börsennotierung März 2023 dass mehrere Exynos-Modems anfällig sind, was mehrere Hersteller von Android-Geräten betrifft, lieferte aber nur wenige weitere Details.
Laut Project Zero gehören zu den betroffenen Geräten fast ein Dutzend Samsung-Modelle, Vivo-Geräte und Googles eigene Pixel 6- und Pixel 7-Handys. Zu den betroffenen Geräten gehören auch Wearables und Fahrzeuge, die für die Verbindung mit dem Mobilfunknetz auf Exynos-Chips angewiesen sind.
Google sagte, dass die Patches je nach Hersteller variieren werden, stellte jedoch fest, dass seine Pixel-Geräte bereits mit seinen gepatcht sind März Sicherheitsupdates.
Bis betroffene Hersteller Software-Updates an ihre Kunden weitergeben, sagte Google, dass Benutzer, die sich schützen möchten, Wi-Fi-Anrufe und Voice-over-LTE (VoLTE) in ihren Geräteeinstellungen ausschalten können, wodurch „das Ausnutzungsrisiko dieser Schwachstellen beseitigt wird. ”
Laut Google waren die verbleibenden 14 Schwachstellen weniger schwerwiegend, da sie entweder Zugriff auf ein Gerät erforderten oder Insider- oder privilegierten Zugriff auf die Systeme eines Mobilfunkanbieters haben.