Команда Google по поиску ошибок нулевого дня Project Zero обнаружила18 0-day уязвимостей в чипсетах Samsung Exynos , используемых в популярных смартфонах, носимых устройствах и автомобилях.
О недостатках безопасности Exynos сообщалось в период с конца 2022 по начало 2023 года. Некоторые из них не исправлены с декабря 2022 года.
По словам главы Project Zero Тима Уиллиса, единственной информацией, необходимой для проведения атак, является номер телефона жертвы. Что еще хуже, с минимальными дополнительными усилиями опытный хакер может легко создать эксплойт, способный удаленно скомпрометировать уязвимые устройства, не привлекая внимания жертв.
4 из 18 нулевых дней были определены как критические RCE-уязвимости, которые позволяют удаленно выполнять код на устройстве. Другие 14 уязвимости не являются критичными, но всё же представляют риск. Для успешной эксплуатации требуется локальный доступ или злонамеренный оператор мобильной связи.
Список затронутых устройств включает:
- Смартфоны Samsung серии S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04;
- Мобильные устройства Vivo серии S16, S15, S6, X70, X60 и X30;
- Серия устройств Google Pixel 6 и 6 Pro, Pixel 6a, Pixel 7 и 7 Pro;
- любые носимые устройства на чипсете Exynos W920;
- любые автомобили, использующие чипсет Exynos Auto T5123.
Хотя Samsung уже предоставила другим поставщикам исправления, они не являются общедоступными и не могут быть применены всеми затронутыми пользователями.
На данный момент только Google исправил уязвимость (CVE-2023-24033) для затронутых устройств Pixel в своих обновлениях безопасности за март 2023 года. Другие производители будут выпускать обновления по мере готовности. До тех пор, пока исправления не будут доступны, пользователям рекомендуется отключить функции вызовы по Wi-Fi и VoLTE для устранения вектора атаки.