Googleは、SamsungのExynosチップに含まれる一連の危険なセキュリティ欠陥に注意を呼びかけており、その一部はリモートから悪用され、ユーザーの介入を必要とせずに携帯電話を完全に侵害する可能性がある。
ゼロデイ脆弱性の探索を担当する Google チームである Project Zero が発見し、サムスンのExynosチップに18件の脆弱性があると報告した。より正確に言えば、問題の原因はチップ モデムです。同社のモバイル機器、ウェアラブル機器、自動車などに採用されている。影響を受けるデバイスの中には、Exynos プロセッサをベースにした Tensor チップを使用する Pixel 6 および 7 だけでなく、Vivo の特定のミッドレンジ スマートフォンも含まれます。
Google の Project Zero 責任者である Tim Willis 氏はブログ投稿で、CVE-2023-24033 を含むこれらの脆弱性のうち 4 つは、インターネットからベースバンドへのリモート コード実行に関係していると述べました。ハッカーがスマートフォンにリモートから簡単にアクセスできるようにする、そしてあなたが気づかないうちにこれが起こります。
こちらもお読みください – Galaxy S22、ハッカーによってわずか55秒でハッキングされる
あなたの電話番号はあなたのスマートフォンをハッキングするのに十分です
したがって、Project Zero によって実行されたテストでは、いくつかの脆弱性により、攻撃者がユーザーとの対話なしにリモートから電話機を侵害できることが確認されました。被害者の電話番号を知っているだけでデバイスを制御できます。
脆弱なデバイスのリストは次のとおりです。
- S22、M33、M13、M12、A71、A53、A33、A21、A13、A12、A04 シリーズを含む Samsung モバイル デバイス
- S16、S15、S6、X70、X60、X30 シリーズを含む Vivo モバイル デバイス
- Google Pixel 6 および Pixel 7 シリーズ
- Exynos W920 チップを使用して接続されたオブジェクト (Samsung Galaxy Watch 4 および 5 を含む)
- Exynos Auto T5123 チップを使用した車両
「いつものように、公開および未公開のセキュリティ脆弱性に対処する最新バージョンを使用していることを確認するために、エンド ユーザーができるだけ早くデバイスを更新することをお勧めします。「ウィリスは付け加えた。セキュリティのため、新しいバージョンが利用可能になったらすぐにデバイスを更新することを常に強くお勧めします。
残りの 14 個の欠陥 (CVE-2023-24072、CVE-2023-24073、CVE-2023-24074、CVE-2023-24075、CVE-2023-24076、およびその他の保留中の CVE-ID 9 個を含む)それほど重大ではありませんが、依然としてリスクが存在します。
それはサムスンのスマートフォンがゼロデイ脆弱性の被害に遭ったのは、これが初めてではない。すでに昨年末に、プロジェクト ゼロは発見していました。ミッドレンジのGalaxyにいくつかの新たなセキュリティ上の欠陥。これらの脆弱性は積極的に悪用されており、Exynos チップのみが影響を受けました。昨年の春、数百万台のサムスン製スマートフォンも被害に遭いました。デバイスの完全な制御を可能にする重大なセキュリティ上の欠陥悪意のあるアプリケーションを介してリモートで。
2023 年 3 月のセキュリティ パッチでは欠陥の 1 つが修正されています
Google は、2023 年 3 月のセキュリティ パッチで CVE-2023-24033 をすでに修正している可能性がありますが、影響を受けるすべてのデバイスがまだアップデートを受信しているわけではありません。修正を待つ間、Project Zero は予防策として、ハッキングのリスクを排除するために Wi-Fi と VoLTE 通話を無効にするようアドバイスしています。
«セキュリティ アップデートが利用可能になるまで、Samsung の Exynos チップのベースバンド リモート コード実行の脆弱性から保護したいユーザーは、デバイス設定で Wi-Fi 通話と Voice over LTE (VoLTE) を無効にすることができます。とティム・ウィリスは言いました。
従来、セキュリティ研究者は、パッチが利用可能になるまでバグを発見したことを発表するか、バグを報告してから修正の目処が立たないまましばらく時間が経過するまで待ちます。これからは、海賊が登場する可能性も十分にあります。パッチが適用される前にスマートフォンをハッキングする機会を利用する一部のデバイスでは。