A equipe de bug-hunting de zero-day da Google, Project Zero, descobriu e relatou 18 vulnerabilidades zero-day nos chipsets Exynos da Samsung usados em dispositivos móveis, vestíveis e automóveis.
As falhas de segurança do modem Exynos foram relatadas entre o final de 2022 e o início de 2023.
Quatro dos dezoito zero-days foram identificados como os mais graves, permitindo a execução remota de código da internet para a baseband.
Esses bugs de execução remota de código da internet para a baseband (RCE) (incluindo
CVE-2023-24033
e outros três ainda aguardando uma identificação de CVE) permitem que os invasores comprometam dispositivos vulneráveis remotamente e sem interação do usuário.
"O software da baseband não verifica corretamente os tipos de formato do atributo de tipo de aceitação especificado pelo SDP, o que pode levar a uma negação de serviço ou execução de código no Modem de Baseband da Samsung", diz a Samsung em um aviso de segurança descrevendo a vulnerabilidade
CVE-2023-24033
.
A única informação necessária para realizar os ataques é o número de telefone da vítima, segundo Tim Willis, chefe do Project Zero.
Para piorar a situação, com uma pesquisa mínima adicional, os invasores experientes poderiam facilmente criar um exploit capaz de comprometer remotamente dispositivos vulneráveis sem chamar a atenção dos alvos.
"Devido a uma combinação muito rara de nível de acesso que essas vulnerabilidades fornecem e a velocidade com que acreditamos que um exploit operacional confiável poderia ser criado, decidimos fazer uma exceção à política de adiamento da divulgação para as quatro vulnerabilidades que permitem a execução remota de código da internet para a baseband", disse Willis.
As outras 14 falhas restantes (incluindo CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 e outras nove aguardando identificações de CVE) não são tão críticas, mas ainda representam um risco.
A exploração bem-sucedida requer acesso local ou um operador de rede móvel mal-intencionado.
Com base na lista de chipsets afetados fornecida pela Samsung, a lista de dispositivos afetados inclui, mas não se limita a: dispositivos móveis da Samsung, incluindo os das séries S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04; dispositivos móveis da Vivo, incluindo os das séries S16, S15, S6, X70, X60 e X30; as séries de dispositivos Pixel 6 e Pixel 7 do Google; quaisquer vestíveis que usem o chipset Exynos W920 e quaisquer veículos que usem o chipset Exynos Auto T5123.
Uma solução alternativa está disponível para dispositivos afetados.
Embora a Samsung já tenha fornecido atualizações de segurança para abordar essas vulnerabilidades em chipsets afetados para outros fabricantes, os patches não são públicos e não podem ser aplicados por todos os usuários afetados.
O cronograma de patches de cada fabricante para seus dispositivos será diferente, mas, por exemplo, o Google já abordou a
CVE-2023-24033
para dispositivos Pixel afetados em suas atualizações de segurança de março de 2023.
No entanto, até que os patches estejam disponíveis, os usuários podem impedir tentativas de exploração de RCE da baseband visando os chipsets Exynos da Samsung em seu dispositivo, desativando a chamada Wi-Fi e a Voice-over-LTE (VoLTE) para remover o vetor de ataque.
A Samsung também confirmou a solução alternativa do Project Zero, dizendo que "os usuários podem desativar as chamadas Wi-Fi e VoLTE para mitigar o impacto dessa vulnerabilidade".
"Como sempre, incentivamos os usuários finais a atualizar seus dispositivos o mais rápido possível, para garantir que estejam executando as versões mais recentes que corrigem vulnerabilidades de segurança divulgadas e não divulgadas", acrescentou Willis.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...