您的智慧型手機可能面臨危險，三星 Exynos 晶片發現嚴重缺陷

谷歌呼籲人們注意三星 Exynos 晶片中的一系列危險安全漏洞，其中一些漏洞可以遠端利用，從而在無需用戶互動的情況下完全破壞手機。

零日計畫（Project Zero）是Google負責尋找零時差漏洞的團隊，發現並報告指出三星 Exynos 晶片存在 18 個漏洞。更準確地說，罪魁禍首是晶片調變解調器。它用於該公司的行動裝置、穿戴式裝置和汽車。受影響的設備還包括使用基於 Exynos 處理器的 Tensor 晶片的 Pixel 6 和 7，以及 Vivo 的某些中階智慧型手機。

谷歌零號計畫負責人蒂姆威利斯在部落格文章中表示，其中包括 CVE-2023-24033 在內的四個漏洞涉及從互聯網到基帶的遠端程式碼執行，也就是說，它們讓駭客輕鬆遠端存取您的智慧型手機，而這是你無法意識到的。

另請閱讀—— Galaxy S22僅用55秒就被駭客入侵

您的電話號碼足以破解您的智慧型手機

因此，零號項目進行的測試證實，一些漏洞允許攻擊者在不與用戶進行任何互動的情況下遠端破壞手機，並且它們只需知道受害者的電話號碼即可控制該設備。

以下是易受攻擊的設備清單：

• 三星行動裝置包括 S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列
• Vivo 行動裝置包括 S16、S15、S6、X70、X60 和 X30 系列
• Google Pixel 6 和 Pixel 7 系列
• 使用 Exynos W920 晶片的連接對象，包括 Samsung Galaxy Watch 4 和 5
• 使用 Exynos Auto T5123 晶片的車輛

“一如既往，我們鼓勵最終用戶盡快更新他們的設備，以確保他們使用的最新版本可以解決已公開和未公開的安全漏洞「威利斯補充道。為了您的安全，強烈建議您在有新版本可用時立即更新您的裝置。

其餘 14 個缺陷（包括 CVE-2023-24072、CVE-2023-24073、CVE-2023-24074、CVE-2023-24075、CVE-2023-24076 以及另外 9 個待定的 CVE-ID）並不那麼重要，但仍存在風險。

這是三星智慧型手機並不是第一次成為零時差漏洞的受害者。早在去年年底，零號計畫就發現了中階 Galaxy 中的幾個新安全漏洞。這些漏洞已被積極利用，只有 Exynos 晶片受到影響。去年春天，數以百萬計的三星智慧型手機也成為了受害者一個重大安全漏洞，也允許對設備進行完全控制透過惡意應用程式遠端。

2023 年 3 月安全性修補程式修復了其中一個缺陷

Google 可能已經在 2023 年 3 月的安全性修補程式中修復了 CVE-2023-24033，但並非所有受影響的裝置都已收到更新。在等待修復期間，零號專案建議作為預防措施禁用 Wi-Fi 和 VoLTE 通話，以消除駭客攻擊的風險。

«在安全更新發布之前，想要防範三星 Exynos 晶片中的基頻遠端程式碼執行漏洞的用戶可以在其裝置設定中停用 Wi-Fi 通話和 LTE 語音 (VoLTE)提姆威利斯說。

傳統上，安全研究人員會等到補丁可用後才宣布他們發現了該錯誤，或者直到他們報告該錯誤後已經過去了一段時間而看不到任何修復。從此以後，海盜們就可以在部署修補程式之前利用機會破解智慧型手機在某些設備上。