אם אין לך את עדכון האבטחה של מרץ 2023, כנראה שאתה צריך להשבית את שיחות ה-Wi-Fi ואת VoLTE.
אנו סומכים על הסמארטפונים שלנו עם כמעט כל דבר בחיינו, ובתמורה, אנו מצפים שהם יהיו מאובטחים ומוגנים מפני התקפות. זה בְּדֶרֶך כְּלַל המקרה, ועדכוני אבטחה חודשיים עושים דרך ארוכה בהגנה על הנתונים שלנו. עם זאת, אם יש לך א גוגל פיקסל או א טלפון סמסונג, אתה כנראה צריך להיזהר. Project Zero של גוגל, צוות ציד הבאגים שלה, זיהה שמונה עשרה פרצות אבטחה שמשפיעות מודמי Exynos ושילובם יכולים לתת לתוקף שליטה מלאה בסמארטפון שלך אפילו בלעדייך יוֹדֵעַ.
נקודות התורפה התגלו בסוף 2022 ובתחילת 2023, וארבע מתוך שמונה עשרה נקודות התורפה נחשבים לקריטיים ביותר שכן הם מאפשרים ביצוע קוד מרחוק רק באמצעות הטלפון של הקורבן מספר. רק לאחד מהניצולים החמורים ביותר יש מספר נקודות תורפה וחשיפה נפוצות (CVE), עם Google מונעת מספר CVEs הקשורים לפגיעות זו, חריג נדיר לחשיפת באגים רגילה נוהל.
המכשירים הבאים מושפעים, על פי Project Zero של גוגל.
- מכשירים ניידים של סמסונג, לרבות אלה בסדרות S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ו-A04;
- מכשירי סלולר מבית Vivo, כולל אלו בסדרות S16, S15, S6, X70, X60 ו-X30;
- סדרת המכשירים Pixel 6 ו-Pixel 7 מבית גוגל; ו
- כל כלי רכב המשתמשים בערכת השבבים Exynos Auto T5123.
הבאג הזה תוקן בעדכון האבטחה של מרץ, שכבר יש לסדרת Pixel 7. עם זאת, לסדרת Pixel 6 אין את זה עדיין, וגוגל אומרת שמשתמשים שמשתמשים במכשירים לא מתוקנים צריכים להשבית את VoLTE ו-Wi-Fi Calling. טים וויליס, ראש פרויקט אפס, אמר כי "עם מחקר ופיתוח נוספים מוגבלים, אנו מאמינים שתוקפים מיומנים יהיו מסוגל ליצור במהירות ניצול תפעולי כדי לסכן מכשירים מושפעים בשקט ומרחוק." במילים אחרות, משתמש יכול לקבל את מכשיר נפרץ ואולי אפילו לא יודע עליו, ונראה שזה יכול להיות די קל לחלק מהתוקפים למצוא ולנצל אותו נו.
באשר לניצול העיקרי שיש לנו מידע עליו, CVE-2023-24033, התיאור שלו פשוט אומר שערכות השבבים המושפעות של מודם פס הבסיס "עושים לא בודקים כראוי סוגי פורמטים שצוינו על ידי מודול Session Description Protocol (SDP), מה שעלול להוביל למניעת שירות." שירות בהקשר זה אומר בדרך כלל שתוקף יכול לנעול את הטלפון שלך מרחוק ולמנוע ממך להשתמש בו, אם כי אין פרטים נוספים ניתנים.
ארבע עשרה נקודות התורפה האחרות (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076, ותשעה אחרים הממתינים ל-CVE) אינם קריטיים כל כך, אך עדיין נושאים בסיכון עד הסוף מִשׁתַמֵשׁ. לניצול מוצלח, הם דורשים "או מפעיל רשת סלולרית זדונית או תוקף עם גישה מקומית למכשיר".
למשתמשים שמחכים לעדכון ומשתמשים במכשיר מושפע, הקפד להשבית את VoLTE ושיחות Wi-Fi לעת עתה. אם יש לך את עדכון האבטחה של מרץ אבל עדיין לא עדכנת, אולי הגיע הזמן לעשות זאת.
מָקוֹר: Google Project Zero