Эксперты из команды Google Project Zero, специализирующиеся на поиске 0-day уязвимостей, выявили 18 уязвимостей нулевого дня в чипсетах Samsung Exynos, широко используемых в мобильных и носимых устройствах, а также автомобилях. По их словам, злоумышленники могут удаленно скомпрометировать уязвимый телефон на baseband-уровне без какого-либо взаимодействия с пользователем.
В основном исследователи обнаружили проблемы в модеме Exynos, о чем и уведомили производителя в период с конца 2022 по начало 2023 года. Четыре из восемнадцати багов были обозначены как наиболее серьезные, так как позволяют удаленно выполнить произвольный код на baseband-уровне.
Отмечается, что из-за редкого сочетания уровня доступа, предоставляемого этими уязвимостями, и скорости, с которой может быть создан рабочий эксплоит для них, исследователи решили сделать исключение и пока откладывают детальное раскрытие информации об этих багах.
Специалисты описывают эти RCE-уязвимости (CVE-2023-24033 и три других, которые еще не получили идентификаторы CVE) как Internet-to-baseband баги, позволяющие удаленно скомпрометировать уязвимые устройства без взаимодействия с пользователем. В сущности, единственной информацией, необходимой для проведения атаки, является номер телефона жертвы.
«Baseband ПО не осуществляет должную проверку типов формата атрибута accept-type в SDP, что может привести к отказу в обслуживании или выполнению кода в baseband-модеме Samsung», — сообщает Samsung в описании проблемы CVE-2023-24033.
Оставшиеся 14 уязвимостей (CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 и девять других багов, ожидающих получения идентификаторов CVE) не столь критичны: для их эксплуатации потребуется локальный доступ или вредоносный оператор мобильной сети.
Samsung сообщает, что в список затронутых устройств входят следующие девайсы (и, вероятно, дело не ограничивается только ими):
- мобильные устройства Samsung серий S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04;
- мобильные устройства Vivo серий S16, S15, S6, X70, X60 и X30;
- серия устройств Pixel 6 и Pixel 7 от Google;
- любые носимые устройства, использующие чипсет Exynos W920;
- любые автомобили, использующие чипсет Exynos Auto T5123.
Хотя Samsung уже предоставила поставщикам необходимые патчи, устраняющие уязвимости в затронутых чипсетах, пока эти исправления не являются общедоступными и не могут быть применены всеми пользователями, находящимися в зоне риска.
Фактически, сроки выхода исправлений будут отличаться для каждого конкретного производителя. Например, Google уже устранила уязвимость CVE-2023-24033 в устройствах Pixel с обновлениями, выпущенными в марте 2023 года.
Пока исправления не будут доступны, Samsung рекомендует пользователям «отключить вызовы через Wi-Fi и VoLTE», а затем как можно скорее обновить устройства.
