La unidad de investigación de seguridad de Google está haciendo sonar la alarma sobre un conjunto de vulnerabilidades que encontró en ciertos chips de Samsung incluidos en docenas de modelos, dispositivos portátiles y vehículos con Android, por temor a que las fallas puedan descubrirse y explotarse pronto.
En una publicación de blog, el jefe de Project Zero de Google, Tim Willis, dijo que los investigadores de seguridad internos encontraron e informaron 18 vulnerabilidades de día cero en los módems Exynos producidos por Samsung en los últimos meses, incluidas cuatro fallas de máxima gravedad que podrían comprometer los dispositivos afectados. silenciosa y remotamente” a través de la red celular.
“Las pruebas realizadas por Project Zero confirman que esas cuatro vulnerabilidades permiten que un atacante comprometa remotamente un teléfono a nivel de banda base sin interacción del usuario, y solo requiere que el atacante conozca el número de teléfono de la víctima”, dijo Willis.
Al obtener la capacidad de ejecutar código de forma remota en el nivel de banda base de un dispositivo, esencialmente los módems Exynos que convierten las señales celulares en datos digitales, un atacante podría obtener acceso casi ilimitado a los datos que entran y salen de un dispositivo afectado, incluidos llamadas celulares, mensajes de texto y datos celulares, sin alertar a la víctima.
A medida que avanzan las divulgaciones, es raro ver a Google, o cualquier empresa de investigación de seguridad, hacer sonar la alarma sobre vulnerabilidades de alta gravedad antes de que se parcheen. Google señaló el riesgo para el público y afirmó que los atacantes expertos «podrían crear rápidamente un exploit operativo» con investigación y esfuerzo limitados.
Maddie Stone, investigadora del Proyecto Cero escribió en Twitter que Samsung tenía 90 días para parchear los errores, pero aún no lo ha hecho.
Samsung confirmó en una lista de seguridad de marzo de 2023 que varios módems Exynos son vulnerables y afectan a varios fabricantes de dispositivos Android, pero proporcionó pocos detalles más.
Según Project Zero, los dispositivos afectados incluyen casi una docena de modelos Samsung, dispositivos Vivo y los teléfonos Pixel 6 y Pixel 7 de Google. Los dispositivos afectados también incluyen dispositivos portátiles y vehículos que dependen de chips Exynos para conectarse a la red celular.
Google dijo que los parches variarán según el fabricante, pero señaló que sus dispositivos Pixel ya están parcheados con las actualizaciones de seguridad de marzo.
Hasta que los fabricantes afectados envíen actualizaciones de software a sus clientes, Google dijo que los usuarios que deseen protegerse pueden desactivar las llamadas Wi-Fi y Voice-over-LTE (VoLTE) en la configuración de su dispositivo, lo que «eliminará el riesgo de explotación de estas vulnerabilidades». ”
Google dijo que las 14 vulnerabilidades restantes eran menos graves, ya que requerían acceso a un dispositivo o acceso privilegiado o interno a los sistemas de un operador de telefonía celular.