Watafiti kutoka timu ya Google Project Zero waliripoti ugunduzi wa udhaifu 18 katika modemu za Samsung Exynos 5G/LTE/GSM. Athari nne hatari zaidi (CVE-2023-24033) huruhusu utekelezaji wa msimbo katika kiwango cha chipu cha msingi kupitia udukuzi kutoka kwa mitandao ya nje ya Mtandao. Kwa mujibu wa wawakilishi wa Google Project Zero, baada ya utafiti mdogo wa ziada, washambuliaji waliohitimu wataweza kuandaa haraka unyonyaji wa kazi ambayo inafanya uwezekano wa kupata udhibiti kwa mbali katika ngazi ya moduli ya wireless, kujua tu nambari ya simu ya mwathirika. Shambulio hilo linaweza kufanywa bila kutambuliwa na mtumiaji na hauhitaji afanye vitendo vyovyote.
Athari 14 zilizosalia zina kiwango cha chini cha ukali, kwani shambulio linahitaji ufikiaji wa miundombinu ya opereta wa mtandao wa simu au ufikiaji wa ndani kwa kifaa cha mtumiaji. Isipokuwa kwa uwezekano wa kuathirika kwa CVE-2023-24033, marekebisho ambayo yalipendekezwa katika sasisho la programu dhibiti la Machi kwa vifaa vya Google Pixel, matatizo hayajatatuliwa. Kitu pekee kinachojulikana kuhusu uwezekano wa CVE-2023-24033 ni kwamba unasababishwa na ukaguzi usio sahihi wa muundo wa sifa ya "aina ya kukubali" inayotumwa katika ujumbe wa SDP (Itifaki ya Maelezo ya Kipindi).
Hadi udhaifu utakaporekebishwa na watengenezaji, watumiaji wanapendekezwa kuzima usaidizi wa VoLTE (Voice-over-LTE) na kipengele cha kupiga simu kupitia Wi-Fi kwenye mipangilio. Udhaifu unajidhihirisha katika vifaa vilivyo na chip za Exynos, kwa mfano, katika simu mahiri za Samsung (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 na A04), Vivo (S16, S15, S6, X70, X60 na X30), Google Pixel (6 na 7), pamoja na vifaa vinavyoweza kuvaliwa kulingana na chipset ya Exynos W920 na mifumo ya magari yenye chip ya Exynos Auto T5123.
Kwa sababu ya hatari ya udhaifu na uhalisia wa kuibuka kwa haraka kwa unyonyaji, Google iliamua kufanya ubaguzi kwa shida 4 hatari zaidi na kuahirisha ufichuaji wa habari kuhusu asili ya shida. Kwa udhaifu uliosalia, ratiba ya ufichuzi wa maelezo itafuatwa siku 90 baada ya mtengenezaji kuarifiwa (maelezo kuhusu udhaifu CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075 na CVE -2023-26076 tayari inapatikana katika mfumo wa kufuatilia hitilafu, na kwa masuala 9 yaliyosalia, muda wa kusubiri wa siku 90 bado haujaisha). Athari za kiusalama zilizoripotiwa CVE-2023-2607* husababishwa na kufurika kwa bafa wakati wa kusimbua chaguo na orodha fulani katika kodeki za NrmmMsgCodec na NrSmPcoCodec.
Chanzo: opennet.ru