谷歌呼吁人们关注三星 Exynos 芯片中的一系列危险安全漏洞,其中一些漏洞可以被远程利用,从而在无需用户交互的情况下完全破坏手机。
零日计划(Project Zero)是谷歌负责寻找零日漏洞的团队,发现并报告称三星 Exynos 芯片存在 18 个漏洞。更准确地说,罪魁祸首是芯片调制解调器。它用于该公司的移动设备、可穿戴设备和汽车。受影响的设备还包括使用基于 Exynos 处理器的 Tensor 芯片的 Pixel 6 和 7,以及 Vivo 的某些中端智能手机。
谷歌零号项目负责人蒂姆·威利斯在博文中表示,其中包括 CVE-2023-24033 在内的四个漏洞涉及从互联网到基带的远程代码执行,也就是说,它们让黑客轻松远程访问您的智能手机,而这是你无法意识到的。
另请阅读—— Galaxy S22仅用55秒就被黑客入侵
您的电话号码足以破解您的智能手机
因此,零号项目进行的测试证实,一些漏洞允许攻击者在不与用户进行任何交互的情况下远程破坏手机,并且它们只需知道受害者的电话号码即可控制该设备。
以下是易受攻击的设备列表:
- 三星移动设备包括 S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列
- Vivo 移动设备包括 S16、S15、S6、X70、X60 和 X30 系列
- 谷歌 Pixel 6 和 Pixel 7 系列
- 使用 Exynos W920 芯片的连接对象,包括 Samsung Galaxy Watch 4 和 5
- 使用 Exynos Auto T5123 芯片的车辆
“一如既往,我们鼓励最终用户尽快更新他们的设备,以确保他们使用的最新版本可以解决已公开和未公开的安全漏洞“威利斯补充道。为了您的安全,强烈建议您在有新版本可用时立即更新您的设备。
其余 14 个缺陷(包括 CVE-2023-24072、CVE-2023-24073、CVE-2023-24074、CVE-2023-24075、CVE-2023-24076 以及另外 9 个待定的 CVE-ID)并不那么重要,但仍然存在风险。
这是三星智能手机并不是第一次成为零日漏洞的受害者。早在去年年底,零号计划就发现了中端 Galaxy 中的几个新安全漏洞。这些漏洞已被积极利用,只有 Exynos 芯片受到影响。去年春天,数以百万计的三星智能手机也成为了受害者一个重大安全漏洞,也允许对设备进行完全控制通过恶意应用程序远程。
2023 年 3 月安全补丁修复了其中一个缺陷
Google 可能已经在 2023 年 3 月的安全补丁中修复了 CVE-2023-24033,但并非所有受影响的设备都已收到更新。在等待修复期间,零号项目建议作为预防措施禁用 Wi-Fi 和 VoLTE 通话,以消除黑客攻击的风险。
«在安全更新发布之前,想要防范三星 Exynos 芯片中的基带远程代码执行漏洞的用户可以在其设备设置中禁用 Wi-Fi 通话和 LTE 语音 (VoLTE)蒂姆·威利斯说。
传统上,安全研究人员会等到补丁可用后才宣布他们发现了该错误,或者直到他们报告该错误后已经过去了一段时间而看不到任何修复。从此以后,海盗们就可以在部署补丁之前利用机会破解智能手机在某些设备上。
