谷歌的 "零点计划 (Project Zero)"对三星Exynos芯片组的基带远程代码漏洞发出警告,影响到一些手机和其他设备的安全。该漏洞可以让攻击者在基带上远程控制手机,即使没有用户互动:攻击者只需要知道受害者的电话号码。
该团队宣称它们发现三星调制解调器存在大缺陷,Pixel 6、Pixel 7、三星Galaxy S22和A53等手机都受到影响。
根据谷歌的标准披露政策,Project Zero在向软件或硬件供应商报告安全漏洞后,会在规定的时间内向公众披露这些漏洞。在一些极少数情况下,如果谷歌评估了如果漏洞被披露,攻击者将比防御者获益更多,所以谷歌进行了例外处理并延迟了该漏洞的披露。
该团队提醒:在安全更新可用之前,希望保护自己免受三星 Exynos 芯片组中四个互联网到基带远程代码执行漏洞影响的用户可以在其设备设置中关闭 Wi-Fi 通话和 LTE 语音 (VoLTE) . 关闭这些设置将消除这四个严重漏洞的利用风险。
谷歌安全研究人员对三星设备中发现的漏洞发表了评论。他们说,“我们相信熟练的攻击者将能够快速创建一个操作漏洞,以悄无声息地远程破坏受影响的设备。”让人失望的是三星似乎对于解决问题并不积极。
Project Zero警告称,只需要“有限的研发”,经验丰富的黑客就可以利用漏洞。
受影响的移动设备来自三星、Vivo 和谷歌(Pixel 6 和 Pixel 7 系列)。此外,任何配备 Exynos W920 芯片组的可穿戴设备和配备 Exynos Auto T5123 芯片组的车辆都属于“有风险的设备”。Google 受影响的 Pixel 设备已得到修复。但是,其他品牌的补丁时间表因制造商而异。
具体还有哪些设备受影响?名单如下:
——三星移动设备,包括Galaxy S22、M33、M13、M12、A71、A53、A33、A21、A13、A12、A04。
——Vivo移动设备,包括S16、S15、S6、X70、X60和X30系列手机。
——搭载Exynos W920的穿戴设备。
——搭载Exynos Auto T5123的汽车。
Project Zero在调制解调器内共发现19个问题,有4个比较严重(CVE-2023-24033、CVE-2023-26496、CVE-2023-26497 和 CVE-2023-26498)允许互联网到基带远程代码执行。黑客可以利用漏洞通过互联网以远程方式影响基带。
其它漏洞稍微好一些,攻击时需要移动网络运营商配合,或者要通过本地方式访问设备。
最前沿的电子设计资讯
