ከጉግል የፕሮጀክት ዜሮ ቡድን የተውጣጡ ተመራማሪዎች በሳምሰንግ ኤክስዮኒስ 5ጂ/ኤልቲኢ/ጂኤስኤም ሞደሞች ውስጥ 18 ተጋላጭነቶች መገኘታቸውን ሪፖርት አድርገዋል። አራቱ በጣም አደገኛ ተጋላጭነቶች (CVE-2023-24033) ከውጭ የኢንተርኔት አውታረ መረቦች በማታለል የኮድ አፈፃፀምን በቤዝባንድ ቺፕ ደረጃ ይፈቅዳሉ። እንደ ጉግል ፕሮጄክት ዜሮ ተወካዮች ገለጻ፣ ትንሽ ተጨማሪ ምርምር በማድረግ፣ ችሎታ ያላቸው አጥቂዎች የተጎጂውን የስልክ ቁጥር ብቻ በማወቅ የገመድ አልባ ሞጁሉን በርቀት ለመቆጣጠር የሚያስችል የስራ ብዝበዛ በፍጥነት ሊያዳብሩ ይችላሉ። ጥቃቱ ሳይታወቅ ሊከናወን ይችላል እና ምንም አይነት የተጠቃሚ እርምጃ አያስፈልገውም።
የተቀሩት 14 ተጋላጭነቶች ዝቅተኛ ክብደት እንደሆኑ ይቆጠራሉ ምክንያቱም ጥቃቱ የሞባይል ኦፕሬተሩን መሠረተ ልማት ወይም የተጠቃሚውን መሣሪያ አካባቢያዊ መዳረሻ ማግኘትን ይጠይቃል። ከተጋላጭነት በስተቀር CVE-2023-24033፣ ለጉግል ፒክስል መሳሪያዎች በመጋቢት ወር የጽኑዌር ዝመና ውስጥ የተለቀቀው ጥገና፣ ችግሮቹ አልተስተካከሉም። ስለ CVE-2023-24033 የሚታወቀው ብቸኛው መረጃ በSDP (የክፍለ ጊዜ መግለጫ ፕሮቶኮል) መልዕክቶች ውስጥ የተላለፈውን "ተቀባይነት ያለው አይነት" የባህሪ ቅርጸት ትክክል ባልሆነ ማረጋገጫ ምክንያት የተከሰተ መሆኑ ነው።
ተጋላጭነቶቹ በአምራቾች እስኪስተካከሉ ድረስ፣ ተጠቃሚዎች የVoice-over-LTE ድጋፍን እና የWi-Fi ጥሪን በቅንብሮች ውስጥ እንዲያሰናክሉ ይመከራሉ። ተጋላጭነቶቹ እንደ ሳምሰንግ ስማርት ስልኮች (S22፣ M33፣ M13፣ M12፣ A71፣ A53፣ A33፣ A21፣ A13፣ A12 እና A04)፣ የቪቮ ስማርት ስልኮች (S16፣ S15፣ S6፣ X70፣ X60 እና X30)፣ የGoogle Pixel ስማርት ስልኮች (6 እና 7)፣ እንዲሁም Exynos W920 ቺፕሴት ያላቸው ተለባሽ መሳሪያዎች እና Exynos Auto T5123 ቺፕ ያላቸው የመኪና ስርዓቶችን ያሰናክላሉ።
በተጋላጭነት ክብደት እና በፍጥነት የመከሰት እድሉ ምክንያት፣ ጉግል የአራቱን በጣም ከባድ ጉዳዮች ዝርዝር መግለጫ ለፖሊሲው ለሌላ ጊዜ ለማስተላለፍ ወስኗል። የቀሩት ተጋላጭነቶች ከአቅራቢው ማሳወቂያ በኋላ በ90 ቀናት የመልቀቂያ መርሃ ግብር ላይ ይለቀቃሉ (በCVE-2023-26072፣ CVE-2023-26073፣ CVE-2023-26074፣ CVE-2023-26075 እና CVE-2023-26076 ላይ ያለው መረጃ ቀድሞውኑ በሳንካ ክትትል ስርዓት ውስጥ ይገኛል፣ እና የቀሩት 9 ችግሮች ገና አላበቁም)። የታወቁት ተጋላጭነቶች CVE-2023-2607* በNrmmMsgCodec እና NrSmPcoCodec ኮዴኮች ውስጥ የተወሰኑ አማራጮችን እና ዝርዝሮችን ሲፈታ በቋፍ ፍሰት ምክንያት ይከሰታሉ።
ምንጭ: opennet.ru
