Google’ın güvenlik ekibi Google Project Zero çok sayıda Android cihaz, giyilebilir cihaz ve araçta kullanılan Samsung çiplerinde ciddi güvenlik açıkları keşfetti. Bu kusurlar, yama yapılmadan bırakılırsa kötüye kullanılabilir ve Google’ın VoLTE ve Wi-Fi ile aramayı devre dışı bırakmasını önermesine yol açabilir. Google’ın Project Zero başkanı Tim Willis, ekibin Samsung’un Exynos modemlerinde 18 sıfır gün güvenlik açığını ortaya çıkardığını bildirdi. Etkilenen cihazlar arasında Pixel 6 ve 7, Samsung telefonlar ve giyilebilir cihazlar yer alıyor.
Zero Days keşfetmesiyle tanınan Project Zero, yakın zamanda Exynos modemlerde 2022’nin sonlarında ve 2023’ün başlarında 18 güvenlik açığını açıkladı. Bu güvenlik açıklarından dördü (CVE-2023-24033 dahil), bir saldırganın internetten ana banda uzaktan kod yürütmesine olanak tanır kullanıcı etkileşimi olmayan, yalnızca kurbanın telefon numarasını gerektiren bir telefon düzeyinde.
Project Zero, yetenekli saldırganların, sınırlı ek araştırma ve geliştirme ile etkilenen cihazları uzaktan ve sessizce ele geçirmek için operasyonel bir istismar geliştirebileceğini doğruluyor. Kalan 14 güvenlik açığı daha az ciddi kabul ediliyor ve kötü niyetli bir mobil ağ operatörü veya cihaza yerel erişimi olan bir saldırgan gerektiriyor.
Project Zero, benzeri görülmemiş erişim ve hızlı bir şekilde hazırlanmış bir operasyonel istismar olasılığı nedeniyle internetten temel banda dört güvenlik açığının ifşasını geciktirmek için bir politika istisnası yaptı.
Samsung Semiconductor, güvenlik açıklarına karşı savunmasız olan Exynos yonga setlerini tanımlayan tavsiyeler yayınladı. Aşağıdaki cihazların bu açıktan etkilenme olasılığı yüksek;
- Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ve A04 serisi dahil olmak üzere Samsung’un telefonları
- Vivo S16, S15, S6, X70, X60 ve X30 serisi dahil olmak üzere Vivo’nun telefonları
- Google Pixel 6 ve Pixel 7 serisi
- Exynos W920 yonga setini kullanan giyilebilir cihazlar
- Exynos Auto T5123 yonga setini kullanan araçlar
- Samsung Galaxy Watch 4 ve 5 ile Pixel 6 (Exynos 5123) ve 7 (Exynos 5300) de etkilenir.
Google, Mart 2023 güvenlik düzeltme ekinde ana CVE-2023-24033 güvenlik açığını zaten ele almıştır. Project Zero, VoLTE ve Wi-Fi aramasını kapatmanızı öneriyor.
End-users still don’t have patches 90 days after report…. https://t.co/dkA9kuzTso
— Maddie Stone (@maddiestone) March 16, 2023
Üreticilerin değişen yama zaman çizelgeleri olabileceğinden. Düzeltmeleri beklerken, bir önlem olarak Project Zero, istismar risklerini ortadan kaldırmak için Wi-Fi aramasını ve VoLTE’yi kapatmayı önerir. Açıklanan ve açıklanmayan güvenlik açıklarını gidermek için cihazların düzenli olarak güncellenmesi önerilir. Pixel 6, 6 Pro ve 6a kullanıcıları için Mart 2023 güvenlik güncellemesi yayınlanmamış. Bu yüzden Pixel serisi hala risk altında.
tarafından verilmektedir.