Google обнаружил 18 уязвимостей нулевого дня в чипах Samsung Exynos

Команда исследователей безопасности Google обнаружила многочисленные уязвимости в некоторых чипах, производимых компанией Samsung. Десятки моделей смартфонов Android, а также носимые устройства и автомобили могут быть затронуты этими уязвимостями.

Исследователи безопасности Google Project Zero нанесли новый удар. Эти эксперты по безопасности, чья миссия заключается в поиске уязвимостей нулевого дня, только что объявили, что за последние несколько месяцев они обнаружили не менее 18 таких уязвимостей в модемах Exynos, производимых компанией Samsung.

Четыре очень важные уязвимости нулевого дня

Из этих 18 уязвимостей четыре считаются очень важными, поскольку они уже были использованы злоумышленниками для удаленного выполнения кода в базовом диапазоне нескольких устройств.

"Тестирование Project Zero подтверждает, что эти четыре уязвимости позволяют злоумышленнику удаленно скомпрометировать телефон на уровне baseband без участия пользователя и требуют от злоумышленника только знания номера телефона жертвы", — говорят исследователи безопасности Google. "Мы считаем, что при ограниченных дополнительных исследованиях и разработках опытные злоумышленники смогут быстро создать рабочий эксплойт для тихой и удаленной компрометации затронутых устройств", — добавили эксперты по безопасности из Project Zero.

Четырнадцать других обнаруженных уязвимостей "нулевого дня" менее серьезны. Для их использования требуется либо злоумышленник со стороны оператора мобильной сети, либо злоумышленник с локальным доступом к затронутому устройству.

Десятки устройств, затронутых этими уязвимостями нулевого дня

На своем сайте компания Samsung предоставила список чипсетов Exynos, затронутых этими уязвимостями нулевого дня. И самое меньшее, что мы можем сказать, это то, что список устройств, пострадавших от этих брешей, довольно велик. Затронуты следующие продукты:

• Samsung Galaxy S22, M33, M13, 12, A71, A53, A33, A21, A13, A12 и A04 смартфоны
• смартфоны Vivo S16, S15, S6, X70, X60 и X30
• Google Pixel 6 и Pixel 7
• Все устройства, использующие чипсет Exynos W920 (включая Galaxy Samsung Watch 4)
• Все устройства, использующие чипсет Exynos Auto T5123 (используется для обеспечения 5G-связи в автомобилях).

Хотя обновления уже были применены к некоторым устройствам, таким как Pixel 6 и Pixel 7, исследователи Project Zero считают, что сроки получения патчей для некоторых устройств будут варьироваться в зависимости от производителя. В связи с этим они настоятельно рекомендуют устанавливать обновления для устройств, как только они будут предложены производителями. В ожидании решения проблемы всеми заинтересованными производителями, исследователи безопасности предлагают несколько советов. Чтобы ограничить риск атаки, они советуют отключить звонки по Wi-Fi и передачу голоса по LTE (VoLTE) в настройках устройства.