Hvis du ikke har sikkerhedsopdateringen fra marts 2023, bør du sandsynligvis deaktivere Wi-Fi-opkald og VoLTE.
Vi stoler på vores smartphones med stort set alt i vores liv, og til gengæld forventer vi, at de er sikre og beskyttet mod angreb. Det er som regel sagen, og månedlige sikkerhedsopdateringer går langt i at beskytte vores data. Men hvis du har en Google Pixel eller a Samsung telefon, du skal nok være på vagt. Googles Project Zero, dets fejljagthold, har identificeret atten sikkerhedssårbarheder, der påvirker Exynos-modemmer, og at kombinere dem kan give en angriber fuld kontrol over din smartphone uden dig selv vide.
Sårbarhederne blev opdaget i slutningen af 2022 og begyndelsen af 2023, og fire af de atten sårbarheder anses for at være de mest kritiske, da de muliggør fjernudførelse af kode med kun ofrets telefon nummer. Kun én af de mest alvorlige udnyttelser har et offentligt tildelt Common Vulnerabilities and Exposures (CVE)-nummer, med Google tilbageholder en række CVE'er forbundet med denne sårbarhed i en sjælden undtagelse fra normal fejlafsløring protokol.
Følgende enheder er berørt ifølge Googles Project Zero.
- Mobile enheder fra Samsung, inklusive dem i S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 og A04-serien;
- Mobile enheder fra Vivo, inklusive dem i S16, S15, S6, X70, X60 og X30-serien;
- Pixel 6- og Pixel 7-serien af enheder fra Google; og
- alle køretøjer, der bruger Exynos Auto T5123-chipsættet.
Denne fejl er blevet rettet i marts-sikkerhedsopdateringen, som Pixel 7-serien allerede har. Pixel 6-serien har det dog ikke endnu, og Google siger, at brugere, der bruger ikke-patchede enheder, bør deaktivere VoLTE og Wi-Fi Calling. Tim Willis, lederen af Project Zero, sagde, at "med begrænset yderligere forskning og udvikling tror vi, at dygtige angribere ville være i stand til hurtigt at skabe en operationel udnyttelse for at kompromittere berørte enheder lydløst og eksternt." Med andre ord kan en bruger have deres enhed kompromitteret og potentielt ikke engang kendt til det, og det ser ud til, at det kan være ret nemt for nogle angribere at finde og udnytte som godt.
Hvad angår den store udnyttelse, som vi har information om, CVE-2023-24033, siger dens beskrivelse blot, at de berørte basebåndmodemchipsæt "gør ikke korrekt kontrollere formattyper specificeret af Session Description Protocol (SDP) modulet, hvilket kan føre til et lammelsesangreb." service betyder i denne sammenhæng typisk, at en hacker kan fjernlåse din telefon og forhindre dig i at bruge den, dog uden yderligere detaljer er givet.
De andre fjorten sårbarheder (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 og ni andre, der afventer CVE'er) er ikke så kritiske, men bærer stadig risiko til slutningen bruger. For vellykket udnyttelse kræver de "enten en ondsindet mobilnetværksoperatør eller en angriber med lokal adgang til enheden."
For brugere, der venter på en opdatering og bruger en berørt enhed, skal du sørge for at deaktivere VoLTE og Wi-Fi-opkald indtil videre. Hvis du har sikkerhedsopdateringen til marts tilgængelig, men ikke har opdateret endnu, er det måske på tide at gøre det.
Kilde: Google Project Zero