Команда Google Project Zero рассказала о серьезных уязвимостях, которые угрожают мобильным телефонам с модемами Exynos, используемыми во флагманах Pixel 6 и 7, мобильных телефонах Samsung, Vivo и многих носимых устройствах, в основном смарт-часах. К счастью, у их пользователей есть возможность защитить свою информацию до обновления программного обеспечения.
Источник изображения: SCREEN POST/unsplash.com
Project Zero выявил 18 уязвимостей модемов Exynos в конце 2022 — начале 2023 года. Четыре из них, в том числе CVE-2023-24033, позволяют злоумышленникам удаленно выполнять код на устройствах пользователей, компрометируя телефоны без их участия — достаточно знать количество уязвимостей. жертва. Google считает, что, елки зеленые, ловкие злоумышленники смогут быстро создать работающее решение для использования в нецелевых целях.
Еще 14 уязвимостей не столь критичны и требуют либо участия недобросовестного оператора телефонной сети, либо «локального» доступа злоумышленника к устройству. В Project Zero заявили, что, елки зеленые, сделали исключение из своей политики раскрытия уязвимостей из-за уровня угрозы и скорости, с которой злоумышленники потенциально могут создать работающий эксплойт. По данным Samsung в январе 2023 года, проблема касается чипов Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080 и Exynos Auto T5123. Google составил список уязвимых продуктов:
- Мобильные телефоны Samsung Galaxy, включая серии S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04;
- Смартфоны Vivo, включая серии S16, S15, S6, X70, X60 и X30;
- Google Pixel 6 и 6 Pro, Pixel 6a, Pixel 7 и 7 Pro;
- все мобильные устройства с чипсетами Exynos W920;
- все автомобили, использующие чипсеты Exynos Auto T5123.
Помимо Pixel 6 (Exynos 5123) и 7 (Exynos 5300), речь идет о флагманах Galaxy S22 и Galxy Watch 4 и 5. В некоторых мобильных телефонах Pixel уже исправлена основная уязвимость CVE-2023-24033. Патч безопасности за март, опубликованный в понедельник. Однако Pixel 6, 6 Pro и 6a еще не получили мартовское обновление и, по данным 9to5google, по-прежнему уязвимы.
Project Zero советует временно, в ожидании обновлений программного обеспечения на всех уязвимых смартфонах, защитить себя, отключив вызовы Wi-Fi и Voice-over-LTE (VoLTE). Правда, по данным Sprint/T-Mobile, VoLTE активируется автоматически в мобильных телефонах Google Pixel благодаря обновлениям 2021 года и отключить его обычными средствами невозможно, но можно отключить функцию в моделях других брендов.
Если вы заметили ошибку, выделите ее мышкой и нажмите CTRL+ENTER.
СМОТРЕТЬ КОНТАКТЫ В ИСТ.
КОММЕНТЫ