| Kosten | Понедельник, 20 Марта 2023 | Сообщение 1 |
| Несколько уязвимостей в чипсетах Samsung Exynos могут позволить злоумышленникам удаленно взломать определенные мобильные телефоны Samsung Galaxy, Vivo и Google Pixel без взаимодействия с пользователем.
Мы считаем, что с ограниченными дополнительными исследованиями и разработками опытные злоумышленники смогут быстро создать операционный эксплойт для скрытой и удаленной компрометации уязвимых устройств, отмечают исследователи Google Project Zero.
Поэтому они решили обнародовать информацию до истечения своего обычного 90-дневного срока неразглашения и поделиться советами по смягчению последствий, чтобы помочь пользователям защитить себя до тех пор, пока исправления не станут широко доступными.
Об уязвимостях
Исследователи обнаружили в общей сложности 18 уязвимостей, затрагивающих различные чипсеты Samsung Exynos, которые входят в данные устройства.
- Мобильные устройства Samsung, в том числе серии S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 и A04;
- Мобильные устройства от Vivo, в том числе серии S16, S15, S6, X70, X60 и X30;
- Серия устройств Pixel 6 и Pixel 7 от Google; и
Любые автомобили, использующие чипсет Exynos Auto T5123.
Никаких подробностей о четырех критических уязвимостях, делающих возможным удаленное выполнение кода в основной полосе частот (CVE-2023-24033 и трех в настоящее время без CVE-ID), не сообщается.
Остальные сопутствующие уязвимости (от CVE-2023-26072 до CVE-2023-26076+9 без CVE-ID) менее опасны, «поскольку для них требуется либо злонамеренный оператор мобильной сети, либо злоумышленник с локальным доступом к устройству, По словам Тима Уиллиса, главы Project Zero.
Пользователям нужно отключить некоторые функции до выхода обновления безопасности. В частности, заблокировать вызовы по Wi-Fi и голосовую связь через LTE (VoLTE).
Как снизить риск удаленной компрометации?
Если вы используете одно из уязвимых устройств, где вы можете защитить себя, отключив вызовы Wi-Fi и передачу голоса по LTE (VoLTE) в настройках вашего устройств.с.
Звонки по Wi-Fi используют беспроводное подключение к Интернету вместо сигнала сотовой связи для осуществления голосовых вызовов, и это удобно в районах с плохим покрытием сотовой связи или без него. VoLTE использует сети 4G LTE вместо сетей 2G или 3G для выполнения вызовов, что позволяет воспроизводить звук более высокого качества во время вызовов, а пользователю выполнять такие действия, как просмотр веб-страниц или отправка и получение сообщений во время телефонного звонка.
Отключение вызовов Wi-Fi и VoLTE до тех пор, пока вы не сможете установить исправления для этих уязвимостей, означает ухудшение качества обслуживания или даже невозможность совершать телефонные звонки в зависимости от того, где вы находитесь, и от того, прекратили ли уже доступные операторы предлагать услуги 2G и 3G.
Независимо от того, можете ли вы позволить себе отключить вызовы Wi-Fi и VoLTE или нет, следите за исправлениями и внедряйте их, как только они станут доступны. Google уже выпустил исправление для CVE-2023-24033.
| | Страна: (RU) |
| |
