I ricercatori del team Google Project Zero hanno segnalato l'identificazione di 18 vulnerabilità nei modem Samsung Exynos 5G/LTE/GSM. Le quattro vulnerabilità più pericolose (CVE-2023-24033) consentono l'esecuzione di codice a livello di chip in banda base attraverso la manipolazione da reti Internet esterne. Secondo i rappresentanti di Google Project Zero, dopo aver condotto qualche ricerca aggiuntiva, gli aggressori esperti saranno in grado di preparare rapidamente un exploit funzionante che consentirà di ottenere il controllo remoto a livello del modulo wireless, conoscendo solo il numero di telefono della vittima. L'attacco può essere effettuato senza che l'utente se ne accorga e non richiede alcuna azione da parte sua.
Le restanti 14 vulnerabilità presentano un livello di gravità inferiore, poiché l'attacco richiede l'accesso all'infrastruttura dell'operatore di rete mobile o l'accesso locale al dispositivo dell'utente. Ad eccezione di CVE-2023-24033, che è stato corretto in un aggiornamento firmware di marzo per i dispositivi Google Pixel, i problemi rimangono senza patch. Tutto ciò che si sa della vulnerabilità CVE-2023-24033 è che è causata da un controllo errato del formato dell'attributo “accept-type” trasmesso nei messaggi SDP (Session Description Protocol).
Fino a quando le vulnerabilità non verranno risolte dai produttori, si consiglia agli utenti di disabilitare il supporto VoLTE (Voice-over-LTE) e la funzione di chiamata Wi-Fi nelle impostazioni. Le vulnerabilità compaiono nei dispositivi dotati di chip Exynos, ad esempio negli smartphone Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04), Vivo (S16, S15, S6, X70, X60 e X30), Google Pixel (6 e 7), nonché dispositivi indossabili con chipset Exynos W920 e sistemi automobilistici con chip Exynos Auto T5123.
A causa della pericolosità delle vulnerabilità e della realtà della rapida comparsa di un exploit, Google ha deciso di fare un'eccezione alla regola per i 4 problemi più pericolosi e di ritardare la divulgazione delle informazioni sulla natura dei problemi. Per le restanti vulnerabilità, i dettagli verranno divulgati 90 giorni dopo la notifica al fornitore (le informazioni sulle vulnerabilità CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 e CVE-2023-26076 sono già disponibili nel sistema di tracciamento dei bug, e per i restanti 9 problemi il periodo di attesa di 90 giorni non è ancora scaduto). Le vulnerabilità segnalate CVE-2023-2607* sono causate da un buffer overflow durante la decodifica di determinate opzioni ed elenchi nei codec NrmmMsgCodec e NrSmPcoCodec.
Fonte: opennet.ru