Tra la fine del 2022 e l’inizio del 2023, Project Zero di Google ha segnalato diciotto vulnerabilità di “zero day” nei modem Exynos prodotti da Samsung Semiconductor. Le quattro più gravi di queste diciotto vulnerabilità (CVE-2023-24033 e altre tre vulnerabilità a cui devono ancora essere assegnati CVE-ID) consentivano l’esecuzione di codice remoto da Internet a banda base. I test condotti da Project Zero confermano che queste quattro vulnerabilità consentono a un utente malintenzionato di compromettere in remoto un telefono a livello di banda base senza alcuna interazione da parte dell’utente e richiedono solo che l’attaccante conosca il numero di telefono della vittima. Con attività di ricerca e sviluppo aggiuntive limitate, riteniamo che abili aggressori sarebbero in grado di creare rapidamente un exploit operativo per compromettere i dispositivi interessati in modo silenzioso e da remoto. Le altre quattordici vulnerabilità correlate (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 e altre nove vulnerabilità a cui devono ancora essere assegnati CVE-ID) sono state non così grave, in quanto richiedono un operatore di rete mobile dannoso o un utente malintenzionato con accesso locale al dispositivo.
Dispositivi interessati dalle vulnerabilità su Exynos
Gli avvisi di Samsung Semiconductor forniscono l’elenco dei chipset Exynos interessati da queste vulnerabilità. Sulla base delle informazioni provenienti da siti Web pubblici che mappano i chipset ai dispositivi, i prodotti interessati probabilmente includono:
- Dispositivi mobili di Samsung, inclusi quelli delle serie S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04;
- Dispositivi mobili di Vivo, inclusi quelli delle serie S16, S15, S6, X70, X60 e X30;
- La serie di dispositivi Pixel 6 e Pixel 7 di Google;
- qualsiasi dispositivo indossabile che utilizza il chipset Exynos W920;
- tutti i veicoli che utilizzano il chipset Exynos Auto T5123.
Patch temporali
Google prevede che le tempistiche delle patch varieranno in base al produttore (per esempio, i dispositivi Pixel interessati hanno già ricevuto una correzione per CVE-2023-24033 nell’aggiornamento della sicurezza di marzo 2023 ). Nel frattempo, gli utenti con dispositivi interessati possono proteggersi dalle vulnerabilità di esecuzione di codice remoto in banda base menzionate in questo post disattivando le chiamate Wi-Fi e Voice-over-LTE (VoLTE) nelle impostazioni del dispositivo. Come sempre, Google incoraggia gli utenti finali ad aggiornare i propri dispositivi il prima possibile, per garantire che eseguano le build più recenti che risolvono le vulnerabilità di sicurezza divulgate e non divulgate.
Quattro vulnerabilità non divulgate su Exynos
In base alla politica di divulgazione standard, Project Zero rivela al pubblico le vulnerabilità della sicurezza un tempo prestabilito dopo averle segnalate a un fornitore di software o hardware. In alcuni rari casi in cui il team ha valutato che gli aggressori trarrebbero vantaggi significativamente maggiori rispetto ai difensori se una vulnerabilità fosse divulgata, è stata fatta un’eccezione alla politica e ritardato la divulgazione di tale vulnerabilità.
A causa di una combinazione molto rara di livello di accesso fornito da queste vulnerabilità e della velocità con cui possa essere creato un exploit operativo affidabile, Project Zero ha deciso di fare un’eccezione alla politica per ritardare la divulgazione delle quattro vulnerabilità che consentono l’accesso da Internet a esecuzione di codice remoto in banda base. Il team assicura che continuerà a mantenere la collaudata trasparenza condividendo pubblicamente le eccezioni alle norme sulla divulgazione e aggiungendo questi problemi all’elenco una volta che saranno stati tutti divulgati.
Vulnerabilità correlate a Exynos
Delle restanti quattordici vulnerabilità, Project Zero sta divulgando cinque vulnerabilità (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 e CVE-2023-26076) che hanno superato lo standard di scadenza pari a 90 giorni. Questi problemi sono stati divulgati pubblicamente nel tracker del team, in quanto non soddisfano gli standard elevati per essere trattenuti dalla divulgazione. Le restanti nove vulnerabilità in questo set non hanno ancora raggiunto la scadenza di 90 giorni, ma a quel punto saranno divulgate pubblicamente se non sono ancora state risolte.
