Project Zero, il team di ricerca a caccia dei bug zero-day di Google, ha scoperto e segnalato 18 vulnerabilità zero-day nei chipset Exynos di Samsung utilizzati nei dispositivi mobili, indossabili e automobili.
Le falle di sicurezza del modem Exynos sono state segnalate tra la fine del 2022 e l’inizio del 2023. Quattro dei diciotto zero-day sono stati identificati come i più gravi, consentendo l’esecuzione di codice remoto da Internet alla banda base. Questi bug RCE (Remote Code Execution Code) da Internet a banda base (tra cui CVE-2023-24033 e altri tre ancora in attesa di un CVE-ID) consentono agli aggressori di compromettere i dispositivi vulnerabili da remoto e senza alcuna interazione da parte dell’utente.
I 14 difetti rimanenti (inclusi CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 e altri nove in attesa di CVE-ID) non sono così critici ma comunque rappresentare un rischio. Il successo dello sfruttamento richiede l’accesso locale o un operatore di rete mobile dannoso.
Sulla base dell’elenco dei chipset interessati fornito da Samsung, la lista dei dispositivi colpiti include (ma probabilmente non è limitato a):
- Dispositivi mobili di Samsung, inclusi quelli delle serie S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04
- Dispositivi mobili di Vivo, inclusi quelli delle serie S16, S15, S6, X70, X60 e X30
- La serie di dispositivi Pixel 6 e Pixel 7 di Google
- Qualsiasi dispositivo indossabile che utilizza il chipset Exynos W920
- Tutti i veicoli che utilizzano il chipset Exynos Auto T5123
Sebbene Samsung abbia già fornito aggiornamenti di sicurezza che affrontano queste vulnerabilità nei chipset interessati ad altri fornitori, le patch non sono pubbliche e non possono essere applicate da tutti gli utenti. Tuttavia, fino a quando le patch non saranno disponibili, gli utenti possono contrastare i tentativi di sfruttamento RCE disabilitando le chiamate Wi-Fi e Voice-over-LTE (VoLTE) per rimuovere il vettore di attacco.