Google Project Zero團隊本周指出,他們去年底與今年初在三星所生產的多款Exynos數據機上發現了18個零時差漏洞,當中4個最嚴重的漏洞將允許網路至基頻的遠端程式攻擊,且這18個漏洞影響了三星、Vivo及Google的眾多手機,亦波及採用Exynos W920晶片組的穿戴裝置及使用Exynos Auto T5123的汽車。
根據Project Zero團隊的測試,這4個嚴重漏洞允許駭客自遠端危害使用者手機,駭客只需得知手機號碼就能展開攻擊,而且完全不需使用者互動,即使只進行有限的研發,該團隊亦相信老練的駭客將可輕易打造攻擊程式,自遠端悄悄危害手機,而不被使用者察覺。
在4個嚴重漏洞中,目前僅有CVE-2023-24033被賦予編號,含有該漏洞的多款晶片無法妥善檢查對話描述協定(Session Description Protocol,SDP)模組的格式類型,而可能導致服務阻斷。
在其它較不嚴重的14個安全漏洞中,則有5個已被賦予漏洞編號,它們分別是CVE-2023-26072、CVE-2023-26073、CVE-2023-26074、CVE-2023-26075與CVE-2023-26076,這14個漏洞必須具備額外的條件才能被利用,例如要有惡意的行動營運商,或者是駭客必須實際存取裝置。
上述18個安全漏洞波及數十款Exynos晶片,進行影響使用它們的裝置,涵蓋三星的Galaxy S22、M33、M13、M12、A71、A53、A33、A21、A13、A12與A04等手機,Vivo的S16、S15、S6、X70、X60與X30手機,Google的Pixel 6與Pixel 7,以及使用Exynos W920穿戴裝置,或是採用Exynos Auto T5123 的任何汽車等。
Google已在本周展開的3月安全更新中修補了Pixel手機的CVE-2023-24033漏洞,由於各家業者修補漏洞的時間點不同,使得Project Zero資深安全工程經理Tim Willis建議,擁有相關裝置的使用者可於設定中暫時關閉Wi-Fi通話(Wi-Fi calling)及Voice-over-LTE(VoLTE)功能,以避免遭到攻擊。
依照Google的漏洞揭露政策,這4個嚴重漏洞皆已超過90天的揭露期限,只是有鑑於揭露它們帶給駭客的好處可能多過於防禦方,使得Project Zero團隊決定延後揭露相關漏洞。
而另外的14個漏洞中,上述5個具備編號的漏洞則已超過揭露期限,並已被Google及三星公開,其它的漏洞則會在到達揭露期限之際公諸於眾。
熱門新聞
2024-11-05
2024-11-05
2024-11-04
2024-11-02
2024-11-05