Studiuesit nga ekipi i Google Project Zero raportuan se kishin identifikuar 18 dobësi në modemet Samsung Exynos 5G/LTE/GSM. Katër dobësitë më të rrezikshme (CVE-2023-24033) lejojnë ekzekutimin e kodit në nivelin e çipit të brezit bazë përmes manipulimit nga rrjetet e jashtme të internetit. Sipas përfaqësuesve të Google Project Zero, pas kryerjes së një kërkimi të vogël shtesë, sulmuesit e aftë do të jenë në gjendje të përgatisin shpejt një shfrytëzim pune që bën të mundur marrjen e kontrollit nga distanca në nivelin e modulit pa tel, duke ditur vetëm numrin e telefonit të viktimës. Sulmi mund të kryhet pa u vënë re nga përdoruesi dhe nuk kërkon që ai të kryejë asnjë veprim.
14 dobësitë e mbetura kanë një nivel më të ulët ashpërsie, pasi sulmi kërkon qasje në infrastrukturën e operatorit të rrjetit celular ose qasje lokale në pajisjen e përdoruesit. Me përjashtim të CVE-2023-24033, i cili u rregullua në një përditësim të firmuerit të marsit për pajisjet Google Pixel, problemet mbeten të pazgjidhura. Gjithçka që dihet për cenueshmërinë CVE-2023-24033 është se ajo është shkaktuar nga një kontroll i gabuar i formatit të atributit "pranoj-lloj" i transmetuar në mesazhet SDP (Session Description Protocol).
Derisa dobësitë të rregullohen nga prodhuesit, përdoruesit këshillohen të çaktivizojnë mbështetjen e VoLTE (Voice-over-LTE) dhe funksionin e thirrjes Wi-Fi në cilësimet. Dobësitë shfaqen në pajisjet e pajisura me çipa Exynos, për shembull, në telefonat inteligjentë Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 dhe A04), Vivo (S16, S15, S6, X70, X60 dhe X30), Google Pixel (6 dhe 7), si dhe pajisje që vishen me çipset Exynos W920 dhe sistemet e automobilave me çipin Exynos Auto T5123.
Për shkak të rrezikut të dobësive dhe realitetit të shfaqjes së shpejtë të një shfrytëzimi, Google vendosi të bëjë një përjashtim nga rregulli për 4 problemet më të rrezikshme dhe të vonojë zbulimin e informacionit për natyrën e problemeve. Për dobësitë e mbetura, detajet do të zbulohen 90 ditë pas njoftimit të shitësit (informacioni mbi dobësitë CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 dhe CVE2023 është tashmë i disponueshëm në sistemin e gjurmimit të gabimeve, dhe për 26076 çështjet e mbetura, periudha 9-ditore e pritjes nuk ka skaduar ende). Dobësitë e raportuara CVE-90-2023* shkaktohen nga një tejmbushje buferi kur deshifrohen disa opsione dhe lista në kodekët NrmmMsgCodec dhe NrSmPcoCodec.
Burimi: opennet.ru