Google Project Zero团队本周指出,他们去年底与今年初在三星所生产的多款Exynos调制解调器上发现了18个零时差漏洞,其中4个最严重的漏洞将允许网络至基带的远程程序攻击,且这18个漏洞影响了三星、Vivo及Google的众多手机,也波及采用Exynos W920芯片组的穿戴设备及使用Exynos Auto T5123的汽车。
根据Project Zero团队的测试,这4个严重漏洞允许黑客自远程危害用户手机,黑客只需得知手机号码就能展开攻击,而且完全不需用户互动,即使只进行有限的研发,该团队也相信老练的黑客将可轻易打造攻击程序,自远程悄悄危害手机,而不被用户发现。
在4个严重漏洞中,目前仅有CVE-2023-24033被赋给编号,含有该漏洞的多款芯片无法妥善检查对话描述协议(Session Description Protocol,SDP)模块的格式类型,而可能导致服务阻断。
在其它较不严重的14个安全漏洞中,则有5个已被赋给漏洞编号,它们分别是CVE-2023-26072、CVE-2023-26073、CVE-2023-26074、CVE-2023-26075与CVE-2023-26076,这14个漏洞必须具备额外的条件才能被利用,例如要有恶意的行动运营商,或者是黑客必须实际访问设备。
上述18个安全漏洞波及数十款Exynos芯片,进行影响使用它们的设备,涵盖三星的Galaxy S22、M33、M13、M12、A71、A53、A33、A21、A13、A12与A04等手机,Vivo的S16、S15、S6、X70、X60与X30手机,Google的Pixel 6与Pixel 7,以及使用Exynos W920穿戴设备,或是采用Exynos Auto T5123的任何汽车等。
Google已在本周展开的3月安全更新中修补了Pixel手机的CVE-2023-24033漏洞,由于各家企业修补漏洞的时间点不同,使得Project Zero资深安全工程经理Tim Willis建议,拥有相关设备的用户可于设置中暂时关闭Wi-Fi通话(Wi-Fi calling)及Voice-over-LTE(VoLTE)功能,以避免遭到攻击。
依照Google的漏洞披露政策,这4个严重漏洞皆已超过90天的披露期限,只是有鉴于披露它们带给黑客的好处可能多过于防御方,使得Project Zero团队决定延后披露相关漏洞。
而另外的14个漏洞中,上述5个具备编号的漏洞则已超过披露期限,并已被Google及三星公开,其它的漏洞则会在到达披露期限之际公诸于众。