.
Os analistas de segurança do Google alertaram os usuários de dispositivos Android que várias vulnerabilidades de dia zero em alguns chipsets da Samsung podem permitir que um invasor sequestre completamente e controle remotamente seus aparelhos sabendo apenas o número de telefone.
Entre o final de 2022 e o início deste ano, o Projeto Zero do Google encontrou e relatou 18 desses bugs no firmware do modem celular Exynos da Samsung, de acordo com Tim Willis, que lidera a equipe de caça aos bugs. Quatro das 18 falhas de dia zero podem permitir a execução remota de código da Internet para a banda base. A parte de banda base, ou modem, de um dispositivo normalmente tem acesso privilegiado de baixo nível a todo o hardware e, portanto, a exploração de bugs em seu código pode dar a um intruso controle total sobre o telefone ou dispositivo. Os detalhes técnicos desses buracos foram retidos por enquanto para proteger os usuários de equipamentos vulneráveis.
“Testes conduzidos pelo Project Zero confirmam que essas quatro vulnerabilidades permitem que um invasor comprometa remotamente um telefone no nível de banda base sem interação do usuário e exige apenas que o invasor saiba o número de telefone da vítima”, escreveu Willis em um comunicado. discriminação das falhas de segurança.
Os invasores qualificados seriam capazes de criar rapidamente uma exploração operacional para comprometer os dispositivos afetados de forma silenciosa e remota
“Com pesquisa e desenvolvimento adicionais limitados, acreditamos que invasores qualificados seriam capazes de criar rapidamente uma exploração operacional para comprometer os dispositivos afetados de forma silenciosa e remota”, acrescentou.
Um desses quatro erros graves recebeu um número CVE e é rastreado como CVE-2023-24033. Os outros três estão aguardando identificações de bug.
Os outros 14 problemas não são tão graves e exigem “um operador de rede móvel mal-intencionado ou um invasor com acesso local ao dispositivo”, de acordo com Willis. Esses incluem CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 e nove outras vulnerabilidades que ainda não receberam identificadores.
Os dispositivos afetados incluem aqueles que usam Samsung série de chips S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 e A04; Dispositivos móveis Vivo, incluindo as séries S16, S15, S6, X70, X60 e X30; as séries de dispositivos Pixel 6 e Pixel 7 do Google; e veículos que usam o chipset Exynos Auto T5123.
Google emitiu uma correção para CVE-2023-24033 afetando dispositivos Pixel em seu Atualização de segurança de março. Até que os outros fabricantes fechem os buracos, Willis sugere desativar as chamadas Wi-Fi e o Voice-over-LTE (VoLTE) para proteger contra a execução remota de código de banda base, se você estiver usando um dispositivo vulnerável alimentado pelo silício da Samsung.
E, como sempre, corrija seus gadgets assim que as atualizações de software estiverem disponíveis.
equipe do Google — e a maioria dos pesquisadores de segurança – aderir a um divulgação de 90 dias cronograma, o que significa que depois de relatar o bug ao fornecedor de hardware ou software, o fornecedor tem 90 dias para emitir uma correção. Depois disso, os pesquisadores divulgam a falha ao público.
No entanto, em alguns casos muito raros e críticos, em que “os invasores se beneficiariam significativamente mais do que os defensores se uma vulnerabilidade fosse revelada”, os caçadores de bugs abrem uma exceção e atrasam a divulgação, observou Willis. Esse é o caso dos quatro dias zero que permitem o RCE da Internet para a banda base.
Das 14 falhas menos graves restantes, o Project Zero divulgou quatro que excederam seu prazo de 90 dias. Os outros 10 serão liberados ao público se atingirem a marca de 90 dias sem correções, acrescentou Willis. ®
.
