Om du inte har säkerhetsuppdateringen från mars 2023 bör du förmodligen inaktivera Wi-Fi-samtal och VoLTE.
Vi litar på våra smartphones med i stort sett allt i våra liv, och i gengäld förväntar vi oss att de är säkra och skyddade mot attacker. Det är vanligtvis fallet, och månatliga säkerhetsuppdateringar gör en lång väg att skydda vår data. Men om du har en Google Pixel eller a Samsung telefon, du bör nog vara försiktig. Googles Project Zero, dess felsökningsteam, har identifierat arton säkerhetsbrister som påverkar Exynos-modem, och att kombinera dem kan ge en angripare full kontroll över din smartphone utan dig ens menande.
Sårbarheterna upptäcktes i slutet av 2022 och början av 2023, och fyra av de arton sårbarheterna anses vara de mest kritiska eftersom de möjliggör fjärrexekvering av kod med bara offrets telefon siffra. Endast en av de allvarligaste utnyttjarna har ett offentligt tilldelat Common Vulnerabilities and Exposures (CVE)-nummer, med Google undanhåller ett antal CVE: er som är associerade med denna sårbarhet i ett sällsynt undantag från normal felavslöjande protokoll.
Följande enheter påverkas, enligt Googles Project Zero.
- Mobila enheter från Samsung, inklusive de i serierna S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 och A04;
- Mobila enheter från Vivo, inklusive de i serierna S16, S15, S6, X70, X60 och X30;
- Pixel 6- och Pixel 7-serien av enheter från Google; och
- alla fordon som använder Exynos Auto T5123-chipset.
Denna bugg har åtgärdats i mars säkerhetsuppdatering, som Pixel 7-serien redan har. Pixel 6-serien har det dock inte ännu, och Google säger att användare som använder opappade enheter bör inaktivera VoLTE och Wi-Fi Calling. Tim Willis, chef för Project Zero, sa att "med begränsad ytterligare forskning och utveckling tror vi att skickliga angripare skulle vara kan snabbt skapa en operativ exploatering för att äventyra berörda enheter tyst och på distans." Med andra ord kan en användare ha sina enhet komprometterad och potentiellt inte ens veta om den, och det verkar som om det kan vara ganska lätt för vissa angripare att hitta och utnyttja som väl.
När det gäller den stora exploateringen som vi har information om, CVE-2023-24033, säger dess beskrivning helt enkelt att de berörda basbandsmodemkretsuppsättningarna "gör inte korrekt kontrollera formattyper som specificerats av Session Description Protocol (SDP)-modulen, vilket kan leda till en denial of service." tjänst i detta sammanhang innebär vanligtvis att en angripare kan fjärrlåsa din telefon och hindra dig från att använda den, men inga ytterligare detaljer är given.
De andra fjorton sårbarheterna (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 och nio andra som väntar på CVE) är inte lika kritiska men medför fortfarande risker till slutet användare. För framgångsrikt utnyttjande kräver de "antingen en illvillig mobilnätsoperatör eller en angripare med lokal åtkomst till enheten."
För användare som väntar på en uppdatering och använder en påverkad enhet, se till att inaktivera VoLTE och Wi-Fi-samtal tills vidare. Om du har säkerhetsuppdateringen för mars tillgänglig men inte har uppdaterat ännu, kan det vara dags att göra det.
Källa: Google Project Zero