თუ არ გაქვთ 2023 წლის მარტის უსაფრთხოების განახლება, სავარაუდოდ უნდა გამორთოთ Wi-Fi Calling და VoLTE.
ჩვენ ვენდობით ჩვენს სმარტფონებს თითქმის ყველაფერს ჩვენს ცხოვრებაში და სანაცვლოდ, ჩვენ ველით, რომ ისინი დაცულები და თავდასხმებისგან დაცულნი იქნებიან. ესე იგი ჩვეულებრივ საქმეს და უსაფრთხოების ყოველთვიური განახლებები დიდ გზას ადგას ჩვენი მონაცემების დაცვაში. თუმცა, თუ თქვენ გაქვთ ა Google Pixel ან ა სამსუნგის ტელეფონი, ალბათ ფრთხილად უნდა იყოთ. Google-ის Project Zero-მ, მისმა შეცდომებზე ნადირობის ჯგუფმა, გამოავლინა უსაფრთხოების თვრამეტი დაუცველობა, რომლებიც გავლენას ახდენენ Exynos მოდემები და მათი გაერთიანება შეუძლია თავდამსხმელს მისცეს სრული კონტროლი თქვენს სმარტფონზე თქვენს გარეშეც კი იცის.
დაუცველობა აღმოაჩინეს 2022 წლის ბოლოს და 2023 წლის დასაწყისში და თვრამეტი დაუცველობიდან ოთხი ითვლება ყველაზე კრიტიკულად, რადგან ისინი აძლევენ კოდის დისტანციურ შესრულებას მხოლოდ მსხვერპლის ტელეფონით ნომერი. მხოლოდ ერთ-ერთ ყველაზე სერიოზულ ექსპლოიატს აქვს საჯაროდ მინიჭებული საერთო დაუცველობისა და ექსპოზიციების (CVE) ნომერი, Google აკავებს CVE-ების რაოდენობას, რომლებიც დაკავშირებულია ამ დაუცველობასთან, იშვიათი გამონაკლისით ჩვეულებრივი შეცდომების გამჟღავნებისგან ოქმი.
Google-ის Project Zero-ის მიხედვით, დაზარალდა შემდეგი მოწყობილობები.
- Samsung-ის მობილური მოწყობილობები, მათ შორის S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 და A04 სერიების;
- მობილური მოწყობილობები Vivo-დან, მათ შორის S16, S15, S6, X70, X60 და X30 სერიებში;
- Google-ის მოწყობილობების Pixel 6 და Pixel 7 სერიები; და
- ნებისმიერი მანქანა, რომელიც იყენებს Exynos Auto T5123 ჩიპსეტს.
ეს ხარვეზი გამოსწორდა მარტის უსაფრთხოების განახლებაში, რომელიც უკვე აქვს Pixel 7 სერიას. თუმცა, Pixel 6 სერიებს ის ჯერ არ გააჩნია და Google-მა თქვა, რომ მომხმარებლებმა, რომლებიც იყენებენ გაუხსნელ მოწყობილობებს, უნდა გამორთონ VoLTE და Wi-Fi Calling. ტიმ უილისმა, Project Zero-ს ხელმძღვანელმა, თქვა, რომ ”შეზღუდული დამატებითი კვლევისა და განვითარების შემთხვევაში, ჩვენ გვჯერა, რომ გამოცდილი თავდამსხმელები იქნებიან შეუძლია სწრაფად შექმნას ოპერაციული ექსპლოიტი, რათა კომპრომეტირდეს დაზარალებული მოწყობილობები ჩუმად და დისტანციურად." სხვა სიტყვებით რომ ვთქვათ, მომხმარებელს შეუძლია ჰქონდეს თავისი მოწყობილობა კომპრომეტირებულია და პოტენციურად არც კი იცის ამის შესახებ და, როგორც ჩანს, ზოგიერთი თავდამსხმელისთვის მისი პოვნა და გამოყენება საკმაოდ მარტივია კარგად.
რაც შეეხება ძირითად ექსპლოიტს, რომლის შესახებაც ჩვენ გვაქვს ინფორმაცია, CVE-2023-24033, მის აღწერილობაში უბრალოდ ნათქვამია, რომ დაზარალებული საბაზისო ჯგუფის მოდემის ჩიპსეტები "აკეთებენ სათანადოდ ვერ შეამოწმეთ სესიის აღწერილობის პროტოკოლის (SDP) მოდულით განსაზღვრული ფორმატის ტიპები, რამაც შეიძლება გამოიწვიოს სერვისის უარყოფა." სერვისი ამ კონტექსტში ჩვეულებრივ ნიშნავს, რომ თავდამსხმელს შეუძლია დისტანციურად დაბლოკოს თქვენი ტელეფონი და ხელი შეგიშალოთ მის გამოყენებაში, თუმცა დამატებითი დეტალების გარეშე მოცემულია.
დანარჩენი თოთხმეტი დაუცველობა (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 და ცხრა სხვა ელოდება CVE-ს) არ არის ისეთი კრიტიკული, მაგრამ მაინც ატარებს რისკს ბოლომდე მომხმარებელი. წარმატებული ექსპლუატაციისთვის მათ ესაჭიროებათ „ან მავნე მობილური ქსელის ოპერატორი ან თავდამსხმელი, რომელსაც აქვს ადგილობრივი წვდომა მოწყობილობაზე“.
მომხმარებლებისთვის, რომლებიც ელოდებიან განახლებას და იყენებენ დაზიანებულ მოწყობილობას, აუცილებლად გამორთეთ VoLTE და Wi-Fi Calling. თუ თქვენ გაქვთ მარტის უსაფრთხოების განახლება, მაგრამ ჯერ არ განახლებულხართ, შეიძლება ამის დრო დადგა.
წყარო: Google Project Zero