የጎግል ፕሮጀክት ዜሮ ቡድን ተመራማሪዎች በSamsung Exynos 18G/LTE/GSM ሞደሞች ውስጥ 5 ተጋላጭነቶች መገኘታቸውን ዘግበዋል። አራቱ በጣም አደገኛ ተጋላጭነቶች (CVE-2023-24033) የውጭ የኢንተርኔት ኔትወርኮችን በማጭበርበር በቤዝባንድ ቺፕ ደረጃ ላይ ኮድ መፈጸምን ይፈቅዳሉ። የጎግል ፕሮጄክት ዜሮ ተወካዮች እንዳሉት ከትንሽ ተጨማሪ ጥናት በኋላ ብቁ አጥቂዎች የተጎጂውን ስልክ ቁጥር ብቻ በማወቅ በገመድ አልባ ሞጁል ደረጃ በርቀት ለመቆጣጠር የሚያስችል የስራ ብዝበዛ በፍጥነት ማዘጋጀት ይችላሉ። ጥቃቱ በተጠቃሚው ሳይታወቅ ሊደረግ ይችላል እና ምንም አይነት ድርጊት እንዲፈጽም አይፈልግም.
ጥቃቱ የሞባይል ኔትወርክ ኦፕሬተርን መሠረተ ልማትን ወይም የተጠቃሚውን መሳሪያ አካባቢያዊ መዳረሻን ስለሚፈልግ ቀሪዎቹ 14 ተጋላጭነቶች ዝቅተኛ የክብደት ደረጃ አላቸው። ከCVE-2023-24033 ተጋላጭነት በስተቀር፣ ለጎግል ፒክስል መሳሪያዎች በማርች firmware ማሻሻያ ላይ ከቀረበለት ጥገና በስተቀር ጉዳዮቹ ገና አልተፈቱም። ስለ CVE-2023-24033 ተጋላጭነት የሚታወቀው ብቸኛው ነገር በኤስዲፒ (የክፍለ ጊዜ መግለጫ ፕሮቶኮል) መልእክቶች ውስጥ የሚተላለፈውን የ"ተቀባይ አይነት" ባህሪ ቅርጸትን በተሳሳተ መንገድ በመፈተሽ ነው.
ድክመቶቹ በአምራቾች እስኪስተካከሉ ድረስ ተጠቃሚዎች በቅንብሮች ውስጥ የVoLTE (Voice-over-LTE) ድጋፍን እና የጥሪ ተግባርን በWi-Fi በኩል እንዲያሰናክሉ ይመከራሉ። ተጋላጭነቶች እራሳቸውን በኤክሳይኖስ ቺፕስ በተገጠሙ መሳሪያዎች ውስጥ ይገለጣሉ ለምሳሌ በ Samsung ስማርትፎኖች (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 እና A04), Vivo (S16, S15, S6, X70). X60 እና X30)፣ ጎግል ፒክስል (6 እና 7) እንዲሁም በ Exynos W920 ቺፕሴት እና በአውቶሞቲቭ ሲስተም በ Exynos Auto T5123 ቺፕ ላይ የተመሰረቱ ተለባሽ መሳሪያዎች።
በተጋላጭነት ስጋት እና የብዝበዛ ፈጣን መከሰት እውነታ ምክንያት Google ለ 4 በጣም አደገኛ ችግሮች ልዩ ለማድረግ እና የችግሮቹን ተፈጥሮ መረጃ ይፋ ለማድረግ ወሰነ። ለቀሪዎቹ ተጋላጭነቶች፣ የዝርዝር መግለጫው መርሃ ግብር አምራቹ ከተገለጸ ከ90 ቀናት በኋላ ይከተላል (ስለ ተጋላጭነቶች መረጃ CVE-2023-26072 ፣ CVE-2023-26073 ፣ CVE-2023-26074 ፣ CVE-2023-26075 እና CVE-2023-26076 -9-90 ቀድሞውንም በትልች መከታተያ ስርዓት ውስጥ ይገኛል፣ እና ለቀሪዎቹ 2023 ጉዳዮች፣ የ2607 ቀን ጥበቃው ገና አላለፈም)። ሪፖርት የተደረጉት ተጋላጭነቶች CVE-XNUMX-XNUMX* የተፈጠሩት በNrmmMsgCodec እና NrSmPcoCodec ኮዴክ ውስጥ የተወሰኑ አማራጮችን እና ዝርዝሮችን በሚፈታበት ጊዜ በመጠባበቂያ ክምችት ምክንያት ነው።
ምንጭ: opennet.ru