Sommario
Il team Project Zero di Google ha recentemente scoperto e segnalato 18 vulnerabilità a zero-day nei chipset Exynos di Samsung, utilizzati principalmente in:
- Dispositivi mobili
- Dispositivi indossabili
- Automobili
Tra le 18 vulnerabilità a zero-day, quattro sono state classificate come le più gravi, poiché consentono l’esecuzione di codice remoto (RCE) sulla baseband tramite Internet.
I ricercatori del Project Zero hanno condotto test che hanno confermato che le quattro vulnerabilità potrebbero essere sfruttate da un aggressore in remoto per compromettere la baseband di un telefono senza alcuna interazione da parte dell’utente e conoscendo solo il numero di telefono della vittima.
Per effettuare l’attacco, è necessario solo il numero di telefono della vittima. Inoltre, è possibile per gli aggressori esperti creare exploit per violare in remoto i dispositivi vulnerabili senza allertare le vittime.
Dispositivi interessati
Samsung Semiconductor ha annunciato in un avviso che queste vulnerabilità interessano i chipset Exynos e i dispositivi principalmente interessati sono i seguenti:
- Samsung Galaxy S22
- Samsung Galaxy M33
- Samsung Galaxy M13
- Samsung Galaxy M12
- Samsung Galaxy A71
- Samsung Galaxy A53
- Samsung Galaxy A33
- Samsung Galaxy A21
- Samsung Galaxy A13
- Samsung Galaxy A12
- Samsung Galaxy A04
- Vivo S16
- Vivo S15
- Vivo S6
- Vivo X70
- Vivo X60
- Vivo X30
- Serie Google Pixel 6
- Serie Google Pixel 7
- Dispositivi indossabili che utilizzano il chipset Exynos W920
- Veicoli che utilizzano il chipset Exynos Auto T5123
Tempistiche delle patch
Le tempistiche delle patch dipenderanno completamente dal produttore. A marzo 2023, è stata rilasciata una patch per i dispositivi Pixel interessati da CVE-2023-24033.
Vulnerabilità divulgate
Cinque delle restanti quattordici vulnerabilità vengono divulgate come parte di questa segnalazione. Di seguito, le abbiamo elencate:
- CVE-2023-26072
- CVE-2023-26073
- CVE-2023-26074
- CVE-2023-26075
- CVE-2023-26076
Altre vulnerabilità non hanno ancora ricevuto un ID CVE. Tuttavia, alcune di esse hanno già superato il solito termine di 90 giorni stabilito dal team Project Zero:
- CVE-2023-26072
- CVE-2023-26073
- CVE-2023-26074
- CVE-2023-26075
Dispositivi interessati
Samsung Semiconductor ha annunciato in un avviso che queste vulnerabilità interessano i chipset Exynos e i dispositivi principalmente interessati sono i seguenti:
- Samsung Galaxy S22
- Samsung Galaxy M33
- Samsung Galaxy M13
- Samsung Galaxy M12
- Samsung Galaxy A71
- Samsung Galaxy A53
- Samsung Galaxy A33
- Samsung Galaxy A21
- Samsung Galaxy A13
- Samsung Galaxy A12
- Samsung Galaxy A04
- Vivo S16
- Vivo S15
- Vivo S6
- Vivo X70
- Vivo X60
- Vivo X30
- Serie Google Pixel 6
- Serie Google Pixel 7
- Dispositivi indossabili che utilizzano il chipset Exynos W920
- Veicoli che utilizzano il chipset Exynos Auto T5123
Tempistiche delle patch
Le tempistiche delle patch dipenderanno completamente dal produttore. A marzo 2023, è stata rilasciata una patch per i dispositivi Pixel interessati da CVE-2023-24033.
Vulnerabilità divulgate
Cinque delle restanti quattordici vulnerabilità vengono divulgate come parte di questa segnalazione. Di seguito, le abbiamo elencate:
- CVE-2023-26072
- CVE-2023-26073
- CVE-2023-26074
- CVE-2023-26075
- CVE-2023-26076
Altre vulnerabilità non hanno ancora ricevuto un ID CVE. Tuttavia, alcune di esse hanno già superato il solito termine di 90 giorni stabilito dal team Project Zero:
- CVE-2023-26072
- CVE-2023-26073
- CVE-2023-26074
- CVE-2023-26075
A causa della mancata risoluzione di questi problemi entro i termini previsti, vengono resi pubblici per garantirne la trasparenza. È importante notare che le restanti nove vulnerabilità di questo insieme non hanno ancora raggiunto il termine di 90 giorni, ma se non saranno risolte, verranno rese pubbliche.
Soluzione temporanea
Come precauzione, si consiglia agli utenti con dispositivi interessati di disabilitare le chiamate Wi-Fi e la Voice-over-LTE (VoLTE) nelle impostazioni del dispositivo per il momento, in modo da non essere esposti alle vulnerabilità di esecuzione del codice remoto sulla baseband.
Si consiglia agli utenti finali di aggiornare tempestivamente i loro dispositivi per garantire che siano in esecuzione le ultime build in grado di affrontare le vulnerabilità di sicurezza divulgate e quelle che devono ancora essere divulgate.
