Enheter som använder Samsung Exynos-modem kan vara ett enkelt mål för hackare. I en ny rapport identifierade Googles Project Zero-team 18 nolldagssårbarheter i de senaste Exynos-modem. Google föreslår att du inaktiverar Wi-Fi-samtal och VoLTE på berörda enheter, även om de flesta användare inte kan inaktivera dessa inställningar.
Endast fyra av de sårbarheter som identifierats av Project Zero är av omedelbar oro. Enligt Project Zero kan dessa sårbarheter möjliggöra fjärrkörning av kod från internet till basband. Även om detaljerna är lite oklara, hävdar Project Zero att hackare kan utnyttja dessa sårbarheter genom att bara använda offrets telefonnummer. (De övriga 14 sårbarheterna kräver en “skadlig mobiloperatör eller en angripare med lokal åtkomst till enheten.”)
Project Zero rapporterade dessa sårbarheter först i slutet av 2022. Google inkluderade en patch i Pixel 7s marsuppdatering (som du bör installera om du inte redan har gjort det), men som Maddie Stone från Project Zero noterar , de flesta enheter är fortfarande oparpade.
Slut- användare har fortfarande inte patchar 90 dagar efter anmälan…. https://t.co/dkA9kuzTso
— Maddie Stone (@maddiestone) 16 mars 2023
Tyvärr är det svårt att lista ut alla enheter som kan påverkas av detta utnyttjande. Project Zero sammanställde en rudimentär lista med offentlig information, även om jag inte är säker på att detta är en komplett lista (jag misstänker att smartklockor med nya Exynos-mobilmodem också kan påverkas):
- < li>Mobila enheter från Samsung, inklusive de i serierna S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 och A04.
- Mobila enheter från Vivo, inklusive de i S16, S15, S6, X70, X60 och X30-serien.
- Pixel 6- och Pixel 7-enheter från Google.
- Alla fordon som använder Exynos Auto T5123-chipset.
Enligt Samsung, Exynos-modemet 5123, Exynos Modem 5300, Exynos 980, Exynos 1080 och Exynos Auto T5123 påverkas av dessa sårbarheter.
Project Zero publicerar vanligtvis detaljerad information om zero-day exploits. Men på grund av hur allvarliga dessa sårbarheter är, håller den tillbaka viss information. För vad det är värt har bara en av de fyra stora sårbarheterna (CVE-2023-24033) tilldelats en CVE.
RELATEDLastPass-skandalen visar att det är dags att lämna lösenord bakom sig
I sitt blogginlägg föreslår Project Zero att användare inaktiverar Wi-Fi-samtal och VoLTE på berörda enheter (öppna Inställningar, gå till “Nätverk och Internet,” och välj “SIM”). Om du inaktiverar dessa inställningar förhindrar du att telefonsamtal rings eller tas emot på de flesta operatörsnätverk. Och tyvärr låter vissa operatörer dig inte ändra dessa inställningar.
Mitt råd är att installera den senaste uppdateringen som är tillgänglig för din telefon. Beroende på när du läser den här artikeln kan Android-patchen för mars vara tillgänglig för dig (och därmed lösa problemet). Om du är ett högriskmål kanske du vill inaktivera Wi-Fi-samtal och VoLTE, även om detta inte är ett realistiskt alternativ för de flesta användare.
Källa: Project Zero