Samsung Exynos

Google のゼロデイ バグハンティング チームである Project Zero は、モバイル デバイス、ウェアラブル、自動車で使用されている Samsung の Exynos チップセットに 18 のゼロデイ脆弱性を発見し、報告しました。

Exynos モデムのセキュリティ上の欠陥は、2022 年後半から 2023 年前半にかけて報告されました。18 件のゼロデイのうち 4 件が最も深刻なものとして特定され、インターネットからベースバンドへのリモート コード実行が可能になりました。

これらのインターネットからベースバンドへのリモート コード実行 (RCE) バグ (CVE-2023-24033 および CVE-ID を待機中の他の 3 つを含む) により、攻撃者はユーザーの介入なしにベースバンド レベルでリモートで電話をハッキングすることができます。

「ベースバンド ソフトウェアは、SDP によって指定された accept-type 属性のフォーマット タイプを適切にチェックしません。これにより、Samsung ベースバンド モデムでのサービス拒否またはコード実行につながる可能性があります」と、Samsung は CVE-2023 を説明するセキュリティ アドバイザリで述べています。 24033 脆弱性。

Project Zero の責任者であるTim Willis 氏によると、攻撃を実行するために必要な情報は被害者の電話番号だけです。

さらに悪いことに、経験豊富な攻撃者は、最小限の追加調査で、ターゲットの注意を引くことなく、脆弱なデバイスをリモートで侵害できるエクスプロイトを簡単に作成できます。

「これらの脆弱性が提供するアクセスのレベルと、信頼性の高い運用上のエクスプロイトが作成される可能性があると考えられる速度の組み合わせが非常にまれであるため、インターネットへのアクセスを可能にする 4 つの脆弱性の開示を遅らせるポリシーの例外を設けることにしました。 -ベースバンドのリモート コード実行」と Willis 氏は述べています

残りの 14 の欠陥 (CVE-2023-24072、CVE-2023-24073、CVE-2023-24074、CVE-2023-24075、CVE-2023-24076、および CVE-ID を待っている他の 9 つを含む) はそれほど重大ではありませんが、リスクをもたらします。エクスプロイトを成功させるには、ローカル アクセスまたは悪意のあるモバイル ネットワーク オペレーターが必要です。

Samsung が提供する影響を受けるチップセットのリストに基づくと、影響を受けるデバイスのリストには次のものが含まれますが、これらに限定されない可能性があります。

  • S22、M33、M13、M12、A71、A53、A33、A21、A13、A12、および A04 シリーズを含む、Samsung のモバイル デバイス。
  • S16、S15、S6、X70、X60、X30 シリーズを含む Vivo のモバイル デバイス。
  • Google の Pixel 6 および Pixel 7 シリーズのデバイス。
  • Exynos W920 チップセットを使用するウェアラブル。と
  • Exynos Auto T5123 チップセットを使用するすべての車両。

影響を受けるデバイスで利用可能な回避策

Samsung は、影響を受けるチップセットのこれらの脆弱性に対処するセキュリティ更新プログラムを他のベンダーに既に提供していますが、パッチは公開されておらず、影響を受けるすべてのユーザーが適用できるわけではありません。

デバイスの各メーカーのパッチ タイムラインは異なりますが、たとえば、Google は 2023 年 3 月のセキュリティ アップデートで、影響を受ける Pixel デバイスの CVE-2023-24033 にすでに対処しています。

ただし、パッチが利用可能になるまで、ユーザーは Wi-Fi 通話と Voice-over-LTE (VoLTE) を無効にして攻撃ベクトルを除去することで、デバイスの Samsung の Exynos チップセットを標的とするベースバンド RCE エクスプロイトの試みを阻止できます。

また、Samsung は Project Zero の回避策を確認し、「ユーザーは WiFi 通話と VoLTE を無効にして、この脆弱性の影響を軽減できる」と述べています。

「いつものように、エンドユーザーにはできるだけ早くデバイスを更新して、公開されているセキュリティ脆弱性と公開されていないセキュリティ脆弱性の両方を修正する最新のビルドを確実に実行することをお勧めします」と Willis は付け加えました。