Команда Project Zero американской компании Google выявила 18 уязвимостей в устройствах с модемами Exynos. Они используются во многих смартфонах Pixel, Samsung, Vivo и некоторых смарт-часах. Об этом пишет 9to5Google.
Специалисты отмечают, что четыре уязвимости позволяют злоумышленникам удалённо выполнять код, зная лишь номер телефона жертвы. Остальные 14 «дыр» считаются не столь серьёзными, поскольку они требуют либо участия мобильного оператора пользователя, что практически невозможно, либо локального доступа к устройству.
Гаджеты, в которых обнаружили уязвимости:
- смартфоны Samsung Galaxy, включая серии S22, M33, M13, M12, A71, A53, A33, A21, A13, A12, и A04;
- смартфоны Vivo, включая серии S16, S15, S6, X70, X60 и X30;
- Google Pixel 6 и 6 Pro, Pixel 6a, Pixel 7 и 7 Pro;
- все носимые устройства с чипсетами Exynos W920, включая Galaxy Watch 4 и 5;
- все транспортные средства, использующие чипы Exynos Auto T5123.
В Google считают, что опытные хакеры могут быстро создать рабочее решение для использования наиболее критических уязвимостей в своих целях. Поэтому рекомендуют пользователям отключить некоторые функции до выхода обновления. В частности, заблокировать вызовы по Wi-Fi и голосовую связь через LTE (VoLTE).
Однако не на всех устройствах можно сделать это самостоятельно. Например, в некоторых смартфонах Google Pixel функция VoLTE активируется автоматически и регулировать её вручную невозможно.
К счастью, основная уязвимость — CVE-2023-24033 — в большинстве «гугловских» устройств уже устранена мартовским обновлением системы безопасности, которое вышло в понедельник. Но до Pixel 6, 6 Pro и 6a оно ещё не дошло.