Samsung’un Exynos temel bant modemlerindeki bir hata o kadar istismar edilebilir ki Google’ın Project Zero, güvenlik açığının ayrıntılarını gizlemek için alışılmadık bir karar aldı.
Project Zero, etkilenen cihazların sahiplerine, “internetten temel banda” saldırı vektörünü engellemek için bir ürün yazılımı yükseltmesi gelene kadar Wi-Fi aramasını ve LTE Üzerinden Ses’i (VoLTE) devre dışı bırakmalarını tavsiye ediyor.
Project Zero, danışma belgesinde, güvenlik açıklarının “bir saldırganın, hiçbir kullanıcı etkileşimi olmadan temel bant düzeyinde bir telefonu uzaktan ele geçirmesine izin verdiğini ve yalnızca saldırganın kurbanın telefon numarasını bilmesini gerektirdiğini söyledi.
“Sınırlı ek araştırma ve geliştirme ile, yetenekli saldırganların, etkilenen cihazları sessizce ve uzaktan ele geçirmek için hızlı bir şekilde operasyonel bir istismar oluşturabileceğine inanıyoruz.”
Dört kritik güvenlik açığı, CVE-2023-24033 ve henüz CVE-ID’leri atanmamış diğer üç güvenlik açığıdır.
CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 ve henüz CVE-ID’leri atanmamış diğer dokuz güvenlik açığı gibi daha az ciddi on dört hata daha var .
Etkilenen telefonlar arasında Samsung S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ve A04 cep telefonları; Vivo S16, S15, S6, X70, X60 ve X30 serisi cep telefonları; Google’ın Pixel 6 ve Pixel 7 serisi; Exynos W920 yonga setini kullanan tüm giyilebilir cihazlarla birlikte; ve Exynos Auto T5123 yonga setini kullanan tüm araçlar.
Samsung henüz güncellenmiş bellenimi göndermedi ve bugüne kadar yalnızca daha az ciddi olan beş güvenlik açığını açıkladı.