Google Project Zero குழுவின் ஆராய்ச்சியாளர்கள் Samsung Exynos 18G/LTE/GSM மோடம்களில் 5 பாதிப்புகள் இருப்பதைக் கண்டறிந்துள்ளனர். நான்கு மிகவும் ஆபத்தான பாதிப்புகள் (CVE-2023-24033) வெளிப்புற இணைய நெட்வொர்க்குகளில் இருந்து கையாளுதல் மூலம் பேஸ்பேண்ட் சிப் மட்டத்தில் குறியீட்டை செயல்படுத்த அனுமதிக்கிறது. கூகிள் ப்ராஜெக்ட் ஜீரோவின் பிரதிநிதிகளின் கூற்றுப்படி, ஒரு சிறிய கூடுதல் ஆராய்ச்சிக்குப் பிறகு, தகுதிவாய்ந்த தாக்குதல் நடத்துபவர்கள், பாதிக்கப்பட்டவரின் ஃபோன் எண்ணை மட்டும் தெரிந்துகொண்டு, வயர்லெஸ் தொகுதி மட்டத்தில் தொலைநிலைக் கட்டுப்பாட்டைப் பெறுவதை சாத்தியமாக்கும் ஒரு வேலைச் சுரண்டலை விரைவாகத் தயாரிக்க முடியும். தாக்குதல் பயனரால் கவனிக்கப்படாமல் மேற்கொள்ளப்படலாம் மற்றும் அவர் எந்தச் செயலையும் செய்யத் தேவையில்லை.
மீதமுள்ள 14 பாதிப்புகள் குறைவான தீவிரத்தன்மையைக் கொண்டுள்ளன, ஏனெனில் தாக்குதலுக்கு மொபைல் நெட்வொர்க் ஆபரேட்டரின் உள்கட்டமைப்பை அணுக வேண்டும் அல்லது பயனரின் சாதனத்திற்கான உள்ளூர் அணுகல் தேவைப்படுகிறது. CVE-2023-24033 பாதிப்பைத் தவிர, Google Pixel சாதனங்களுக்கான மார்ச் ஃபார்ம்வேர் புதுப்பிப்பில் திருத்தம் முன்மொழியப்பட்டது, சிக்கல்கள் இணைக்கப்படாமல் உள்ளன. CVE-2023-24033 பாதிப்பு பற்றி அறியப்பட்ட ஒரே விஷயம் என்னவென்றால், SDP (அமர்வு விளக்கம் நெறிமுறை) செய்திகளில் அனுப்பப்படும் "ஏற்றுக்கொள்ளும்-வகை" பண்புக்கூறின் வடிவமைப்பை தவறாக சரிபார்த்ததால் ஏற்படுகிறது.
பாதிப்புகள் உற்பத்தியாளர்களால் சரிசெய்யப்படும் வரை, அமைப்புகளில் வைஃபை வழியாக VoLTE (வாய்ஸ்-ஓவர்-எல்டிஇ) ஆதரவையும் அழைப்பு செயல்பாட்டையும் முடக்க பயனர்கள் பரிந்துரைக்கப்படுகிறார்கள். Exynos சில்லுகள் பொருத்தப்பட்ட சாதனங்களில் பாதிப்புகள் வெளிப்படுகின்றன, எடுத்துக்காட்டாக, Samsung ஸ்மார்ட்போன்களில் (S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 மற்றும் A04), Vivo (S16, S15, S6, X70, X60 மற்றும் X30), Google Pixel (6 மற்றும் 7), அத்துடன் Exynos W920 சிப்செட் மற்றும் Exynos Auto T5123 சிப் கொண்ட வாகன அமைப்புகளின் அடிப்படையிலான அணியக்கூடிய சாதனங்கள்.
பாதிப்புகளின் ஆபத்து மற்றும் சுரண்டலின் விரைவான வெளிப்பாட்டின் யதார்த்தம் காரணமாக, கூகிள் 4 மிகவும் ஆபத்தான சிக்கல்களுக்கு விதிவிலக்கு அளிக்க முடிவுசெய்தது மற்றும் சிக்கல்களின் தன்மை பற்றிய தகவல்களை வெளியிடுவதை ஒத்திவைத்தது. மீதமுள்ள பாதிப்புகளுக்கு, உற்பத்தியாளருக்கு அறிவிக்கப்பட்ட 90 நாட்களுக்குப் பிறகு விவரங்களை வெளிப்படுத்தும் அட்டவணை பின்பற்றப்படும் (பாதிப்புகள் பற்றிய தகவல் CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023- -26075-2023 ஏற்கனவே பிழை கண்காணிப்பு அமைப்பில் உள்ளது, மீதமுள்ள 26076 சிக்கல்களுக்கு, 9 நாள் காத்திருப்பு இன்னும் காலாவதியாகவில்லை). NrmmMsgCodec மற்றும் NrSmPcoCodec கோடெக்குகளில் சில விருப்பங்கள் மற்றும் பட்டியல்களை டிகோட் செய்யும் போது, CVE-90-2023* பாதிப்புகள் ஏற்படுகின்றன.
ஆதாரம்: opennet.ru