Google’ın sıfır gün hata avı ekibi Project Zero, Samsung’un mobil cihazlarda, giyilebilir cihazlarda ve arabalarda kullanılan Exynos yonga setlerinde 18 sıfır gün güvenlik açığı keşfetti ve bildirdi.
Exynos modem güvenlik kusurları, 2022’nin sonları ile 2023’ün başları arasında rapor edildi. On sekiz sıfır günden dördü, İnternetten ana banda uzaktan kod yürütülmesini sağlayan en ciddi kusurlar olarak belirlendi.
Bu İnternet’ten temel banda uzaktan kod yürütme (RCE) hataları (CVE-2023-24033 ve hala bir CVE-ID bekleyen diğer üç kişi dahil), saldırganların temel bant düzeyinde telefonları uzaktan ve herhangi bir kullanıcı etkileşimi olmadan hacklemesine olanak tanır.
Samsung, CVE-2023-‘ü açıklayan bir güvenlik danışma belgesinde “Temel bant yazılımı, SDP tarafından belirtilen kabul türü özniteliğinin biçim türlerini düzgün bir şekilde kontrol etmez, bu da hizmet reddine veya Samsung Temel Bant Modem’de kod yürütülmesine yol açabilir” diyor. 24033 güvenlik açığı.
Project Zero Başkanı Tim Willis’e göre, saldırıların gerçekleştirilebilmesi için gereken tek bilgi kurbanın telefon numarası.
Deneyimli saldırganlar, minimum ek araştırmayla işleri daha da kötüleştirmek için, hedefin dikkatini çekmeden savunmasız cihazları uzaktan tehlikeye atabilecek bir istismarı kolayca oluşturabilir.
“Bu güvenlik açıklarının sağladığı çok nadir bir erişim düzeyi kombinasyonu ve güvenilir bir operasyonel açıktan yararlanılabileceğine inandığımız hız nedeniyle, İnternet’ten internete izin veren dört güvenlik açığının ifşasını geciktirmek için bir politika istisnası yapmaya karar verdik. -baseband uzaktan kod yürütme,” dedi Willis.
Kalan 14 kusur (CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 ve CVE-ID’lerini bekleyen dokuz kişi dahil) o kadar kritik değil ama yine de risk teşkil eder. Başarılı bir istismar, yerel erişim veya kötü niyetli bir mobil ağ operatörü gerektirir.
Samsung tarafından sağlanan etkilenen yonga setleri listesine göre, etkilenen cihazların listesi aşağıdakileri içerir, ancak bunlarla sınırlı değildir:
- S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ve A04 serisindekiler dahil olmak üzere Samsung’un mobil cihazları;
- S16, S15, S6, X70, X60 ve X30 serisindekiler dahil olmak üzere Vivo’nun mobil cihazları;
- Google’dan Pixel 6 ve Pixel 7 serisi cihazlar;
- Exynos W920 yonga setini kullanan tüm giyilebilir cihazlar; Ve
- Exynos Auto T5123 yonga setini kullanan tüm araçlar.
Etkilenen cihazlar için geçici çözüm mevcut
Samsung, etkilenen yonga setlerindeki bu güvenlik açıklarını ele alan güvenlik güncellemelerini diğer satıcılara zaten sağlamış olsa da, yamalar herkese açık değildir ve etkilenen tüm kullanıcılar tarafından uygulanamaz.
Her üreticinin kendi cihazları için yama zaman çizelgesi farklı olacaktır, ancak örneğin Google, Mart 2023 güvenlik güncellemelerinde etkilenen Pixel cihazlar için zaten CVE-2023-24033’ü ele almıştır.
Rapordan 90 gün sonra son kullanıcıların hala yamaları yok…. https://t.co/dkA9kuzTso
— Maddie Stone (@maddiesstone) 16 Mart 2023
Bununla birlikte, yamalar mevcut olana kadar kullanıcılar, saldırı vektörünü ortadan kaldırmak için Wi-Fi aramasını ve LTE Üzerinden Ses’i (VoLTE) devre dışı bırakarak cihazlarında Samsung’un Exynos yonga setlerini hedef alan temel bant RCE istismar girişimlerini engelleyebilir.
Samsung, “kullanıcıların bu güvenlik açığının etkisini azaltmak için WiFi aramasını ve VoLTE’yi devre dışı bırakabileceğini” söyleyerek Project Zero’nun geçici çözümünü de doğruladı.
Willis, “Her zaman olduğu gibi, hem açıklanmış hem de açıklanmamış güvenlik açıklarını gideren en son sürümleri çalıştırdıklarından emin olmak için son kullanıcıları cihazlarını mümkün olan en kısa sürede güncellemeye teşvik ediyoruz.”