Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Google descubre graves fallos de seguridad en los chips Exynos de Samsung
31 de marzo de 2023 - Equipo de RRPP de TuxCare
Project Zero de Google ha descubierto 18 vulnerabilidades de día cero en los chips Exynos de Samsung, que los atacantes podrían utilizar para comprometer por completo un teléfono sin el conocimiento del usuario.
Los fallos afectan a una amplia gama de smartphones Android de Samsung, Vivo y Google, así como a wearables y vehículos que utilizan chipsets Exynos W920 y Exynos Auto T5123.
Las cuatro más graves de estas dieciocho vulnerabilidades (CVE-2023-24033, CVE-2023-26496, CVE-2023-26497 y CVE-2023-26498) permitían la ejecución remota de código desde Internet a la banda base. Las pruebas de Project Zero confirman que esas cuatro vulnerabilidades permiten a un atacante comprometer remotamente un teléfono a nivel de banda base sin interacción del usuario y con sólo el número de teléfono de la víctima.
Cuatro de los fallos permiten a los atacantes comprometer remotamente un teléfono a nivel de banda base sin interacción del usuario, lo que les otorga acceso privilegiado a los datos celulares que entran y salen del dispositivo atacado. Estos ataques pueden llevarse a cabo de forma silenciosa y remota, y los atacantes expertos pueden crear exploits operativos para vulnerar los dispositivos afectados.
Mientras que los terminales Pixel 6 y 7 ya han recibido una solución como parte de las actualizaciones de seguridad de marzo de 2023, los parches para otros dispositivos variarán en función de los plazos del fabricante. Se recomienda a los usuarios que desactiven las llamadas Wi-Fi y Voice over LTE (VoLTE) en la configuración de sus dispositivos para eliminar el riesgo de explotar estas vulnerabilidades. Los 14 fallos que son menos graves y requieren un operador de red móvil malintencionado o un atacante con acceso local al dispositivo.
Samsung Semiconductor ha emitido avisos sobre los chipsets Exynos vulnerables a estas vulnerabilidades. Según los sitios web públicos que asignan chipsets a dispositivos, es probable que los productos afectados incluyan dispositivos móviles de Samsung, Vivo y Google, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 y A04, así como los dispositivos de las series Pixel 6 y Pixel 7 de Google.
Tras informar de los fallos de seguridad a un proveedor de software o hardware, Project Zero los hace públicos después de un periodo de tiempo determinado. Project Zero ha retrasado la divulgación de las cuatro vulnerabilidades que permiten la ejecución remota de código de Internet a banda base debido a una rara combinación del nivel de acceso que proporcionan estas vulnerabilidades y la rapidez con la que podría elaborarse un exploit operativo fiable. Si las catorce vulnerabilidades restantes no se corrigen en un plazo de 90 días, se harán públicas.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
