Google deckt schwere Sicherheitslücken in Samsungs Exynos-Chips auf
Googles Project Zero hat 18 Zero-Day-Schwachstellen in Samsungs Exynos-Chips entdeckt, die Angreifer nutzen könnten, um ein Telefon ohne das Wissen des Benutzers vollständig zu kompromittieren.
Die Schwachstellen betreffen eine Vielzahl von Android-Smartphones von Samsung, Vivo und Google sowie Wearables und Fahrzeuge, die die Chipsätze Exynos W920 und Exynos Auto T5123 verwenden.
Die vier schwerwiegendsten dieser achtzehn Schwachstellen (CVE-2023-24033, CVE-2023-26496, CVE-2023-26497 und CVE-2023-26498) ermöglichten die Ausführung von Remotecode vom Internet aus auf der Basisbandebene. Project Zero-Tests bestätigen, dass diese vier Schwachstellen es einem Angreifer ermöglichen, ein Telefon auf der Basisbandebene ohne Benutzerinteraktion und nur mit der Telefonnummer des Opfers aus der Ferne zu kompromittieren.
Vier der Schwachstellen ermöglichen es Angreifern, ein Telefon auf der Basisbandebene aus der Ferne zu kompromittieren, ohne dass der Benutzer eingreifen muss, wodurch sie privilegierten Zugriff auf Mobilfunkdaten erhalten, die in das und aus dem Zielgerät fließen. Diese Angriffe können unbemerkt und aus der Ferne durchgeführt werden, und erfahrene Angreifer können operative Exploits erstellen, um in die betroffenen Geräte einzudringen.
Während die Pixel 6- und 7-Geräte bereits einen Fix im Rahmen der Sicherheitsupdates vom März 2023 erhalten haben, werden die Patches für andere Geräte je nach Zeitplan des Herstellers variieren. Nutzern wird empfohlen, Wi-Fi-Anrufe und Voice over LTE (VoLTE) in ihren Geräteeinstellungen zu deaktivieren, um das Risiko einer Ausnutzung dieser Schwachstellen auszuschließen. Die 14 Schwachstellen sind weniger schwerwiegend und erfordern entweder einen böswilligen Mobilfunkbetreiber oder einen Angreifer mit lokalem Zugriff auf das Gerät.
Samsung Semiconductor hat Hinweise zu den Exynos-Chipsätzen herausgegeben, die für diese Sicherheitslücken anfällig sind. Öffentlichen Websites zufolge, die Chipsätze den Geräten zuordnen, sind wahrscheinlich mobile Geräte von Samsung, Vivo und Google betroffen, darunter Geräte der Serien S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 und A04 sowie die Geräte der Serien Pixel 6 und Pixel 7 von Google.
Nach der Meldung von Sicherheitslücken an einen Software- oder Hardware-Anbieter veröffentlicht Project Zero diese nach einer bestimmten Zeitspanne. Project Zero hat die Veröffentlichung der vier Schwachstellen, die eine Remotecodeausführung über das Internet zum Basisband ermöglichen, hinausgezögert, da diese Schwachstellen eine seltene Kombination aus Zugriffsmöglichkeiten und der Geschwindigkeit darstellen, mit der ein zuverlässiger, funktionsfähiger Exploit erstellt werden könnte. Wenn die verbleibenden vierzehn Schwachstellen nicht innerhalb von 90 Tagen behoben werden, werden sie öffentlich bekannt gegeben.
Zu den Quellen für diesen Beitrag gehört ein Artikel in TheHackerNews.