Att täppa till alla säkerhetshål i modern mjukvara är i praktiken omöjligt, varför många större företag har särskilda team vars uppgift är att hitta sårbarheter. En av de viktigare i konsumentled är Project Zero, där säkerhetsanalytiker anställda av Google har som uppgift att hitta så kallade dag noll-sårbarheter (eng. zero-day) hos operativsystemet Android.

Nu publicerar Project Zero ett blogginlägg gällande ett antal särskilt allvarliga dag noll-sårbarheter kopplade till Samsungs modemkretsar i Exynos-serien, vilket gäller såväl de som är integrerade i de egna Exynos-systemkretsarna (SoC) och de modem som säljs som separata lösningar. Förutom i Samsungs telefoner används Exynos-modem i Google Pixel 6, Pixel 7, ett stort antal telefoner från Vivo och givetvis även Samsung.

  • Mobiltelefoner från Samsung, inklusive serierna Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 och A04

  • Mobiltelefoner från Vivo, inklusive serierna S16, S15, S6, X70, X60 och X30

  • Mobiltelefoner från Google, inklusive serierna Pixel 6 och Pixel 7

  • Fordon som använder systemkretsen Exynos Auto T5123

Lista på drabbade enheter med Exynos-modem

Det som gör sårbarheterna särskilt allvarliga är att en angripare endast behöver användarens telefonnummer för att få tillgång till modemet, något som kan göras på distans och utan vetskap av den drabbade. Därefter är det möjligt att få "fullständig tillgång" till alla data som skickas till och från enheter via Wifi och mobilnätet, men även SMS och telefonsamtal.

Under our standard disclosure policy, Project Zero discloses security vulnerabilities to the public a set time after reporting them to a software or hardware vendor. In some rare cases where we have assessed attackers would benefit significantly more than defenders if a vulnerability was disclosed, we have made an exception to our policy and delayed disclosure of that vulnerability.

Due to a very rare combination of level of access these vulnerabilities provide and the speed with which we believe a reliable operational exploit could be crafted, we have decided to make a policy exception to delay disclosure for the four vulnerabilities that allow for Internet-to-baseband remote code execution.

Enligt teamet ska de ha underrättat Samsung kring sammanlagt 18 sårbarheter under slutet av 2022 och början av 2023, utan att någon säkerhetsuppdatering för de drabbade enheterna kommit på plats. Under normala omständigheter publicerar Project Zero sårbarheter offentligt efter att ha gett hård- och/eller mjukvaruutvecklaren en viss tid att korrigera dessa. Av de 18 är det 4 stycken som är så pass allvarliga att de väljer att frångå sin policy för att ge Samsung mer tid.

Until security updates are available, users who wish to protect themselves from the baseband remote code execution vulnerabilities in Samsung’s Exynos chipsets can turn off Wi-Fi calling and Voice-over-LTE (VoLTE) in their device settings. Turning off these settings will remove the exploitation risk of these vulnerabilities.

Till dess att drabbade enheter fått säkerhetsuppdateringar rekommenderar Samsung att stänga av samtal över Wifi och Voice-over-LTE (VoLTE), vilket ska eliminera risken att bli drabbas.

Äger du någon av de drabbade enheterna från Samsung, Vivo eller Google?