Samsung braucht ewig, um den tödlichen Exynos-Fehler zu beheben, der Galaxy S22 und Pixel 6 betrifft

0

Mehrere Beliebte Android-Telefone mit von Samsung hergestellten Exynos-Chips haben eine Sicherheitslücke, die Hackern eine erschreckende Menge an Kontrolle über die Geräte geben könnte.
Projekt Null, ein Team von Sicherheitsanalysten bei Google, das darauf abzielt, Menschen vor gezielten Angriffen zu schützen, hat achtzehn 0-Day-Schwachstellen in Exynos-Modems gefunden. Eine 0-Day-Schwachstelle ist ein Fehler, der dem Produkthersteller zuvor unbekannt war.

Vier Sicherheitslücken könnten Hackern einfachen Zugriff auf betroffene Telefone ermöglichen

Die Fehler wurden zwischen Ende 2022 und Anfang 2023 entdeckt und vier von ihnen ermöglichten die Ausführung von Internet-zu-Basisband-Remotecode. Ein Angreifer würde nur die Telefonnummer einer Person benötigen, um diese Schwachstelle auszunutzen und das Telefon des Opfers unbemerkt und aus der Ferne zu kompromittieren.

Von Project Zero durchgeführte Tests bestätigen, dass diese vier Sicherheitslücken es einem Angreifer ermöglichen, ein Telefon auf Basisbandebene ohne Benutzerinteraktion aus der Ferne zu kompromittieren, und dass der Angreifer lediglich die Telefonnummer des Opfers kennen muss. Mit begrenzter zusätzlicher Forschung und Entwicklung glauben wir, dass erfahrene Angreifer in der Lage sein würden, schnell einen operativen Exploit zu erstellen, um betroffene Geräte unbemerkt und aus der Ferne zu kompromittieren.” – Tim Willis, Project Zero

Die verbleibenden damit verbundenen Schwachstellen sind nicht so schwerwiegend und würden einen böswilligen Mobilfunknetzbetreiber oder direkten Zugriff auf ein Gerät erfordern.

Betroffene Smartphones und Uhren

Entsprechend Website von Samsungbefinden sich die Schwachstellen in den Chipsätzen Exynos Modem 5123 und Exynos Modem 5300 sowie Exynos 980 und Exynos 1080 (via 9to5Google). Diese Chips finden sich in folgenden Geräten:
  • Samsung Galaxy S22 (nur die Exynos-betriebenen Varianten, die in Großbritannien und Europa verkauft werden), A71, A53, A33, Serien A21s, A13, A12, A04, M33, M13 und M12
  • Samsung Galaxy Watch 5 und 4 ansehen
  • Vivo S16-, S15-, S6-, X70-, X60- und X30-Serie
  • Google Pixel 7 Duo, Pixel 6-Reihe und Pixel 6a
Das März-Software-Update für das Pixel 7 behebt die schwerste Schwachstelle, CVE-2023-24033. Die Pixel 6 und 6a sollen angeblich das Update bekommen Später in diesem Monat. Samsung- und Vivo-Geräte bleiben ungeschützt, obwohl Samsung vor 90 Tagen auf das Problem aufmerksam gemacht wurde.

Laut Project Zero-Forscher wurde Samsung vor langer Zeit auf das Problem aufmerksam gemacht – Samsung braucht ewig, um den tödlichen Exynos-Fehler zu beheben, der Galaxy S22 und Pixel 6 betrifft

Laut Project Zero-Forscher wurde Samsung vor langer Zeit auf das Problem aufmerksam gemacht

Project Zero rät, dass Benutzer, die ihre Geräte vor Schwachstellen bei der Ausführung von Baseband-Remotecodes schützen möchten, Wi-Fi-Anrufe und Voice-over-LTE (VoLTE) deaktivieren sollten, bis ein Fix bereitgestellt wird.

Da die vier kritischen Fehler leicht auszunutzen sind, hat Project Zero beschlossen, eine Ausnahme von seiner Offenlegungsrichtlinie zu machen und keine zusätzlichen Details preiszugeben, die die Arbeit eines Hackers erleichtern könnten.

source site-33