* 内容须与手机通讯有关,同时须注意智慧财产权。***[0;37m
1.原文连结:https://www.twcert.org.tw/tw/cp-104-7001-3c070-1.html
2.原文标题:
Google 于 Samsung Exynos 芯片组中发现多达 18 个 0-day 漏洞
3.原文来源(媒体/作者):
TWCERT/CC
4.原文内容:
Google 旗下的资安研究团队 Project Zero 日前发表资安通报指出,该团队的研究人员
在 Samsung 用于行动装置、穿戴式装置与汽车中的 Exynos 芯片组,一口气发现多达 18
个 0-day 资安漏洞。
该团队是在 2022 年末到 2023 年初之间,在 Exynos 芯片组的 Modem 内发现多个安全
漏洞,在 18 个漏洞中有 4 个的危险程度极高,可让骇侵者自外网入侵装置的基频 (Bas
eband),并且远端执行任意程式码。
据报告指出,这 4 个远端执行任意程式码漏洞(其中一个为 CVE-2023-24033,另外三个
尚无 CVE 编号),可让攻击者在无需任何使用者互动的隐密情形下远端入侵设备,并远
端执行任意程式码。
Samsung 也在自行发表的漏洞资安通报中表示,Exynos 芯片组中的基频软件未能妥善检
查由 SDP 指定之接受类型的格式,导致骇侵者可在基频芯片中发动服务阻断攻击 (Denia
l of Service, DoS),或是远端执行任意程式码。
Google Project Zero 的报告也指出,骇侵者只需要拥有受害者的手机电话号码,即可发
动攻击。
其他 14 个 Exynos 芯片组中的漏洞,其危险程度较低,但仍有一定程度的资安风险;攻
击者需实际操作受害手机,或利用恶意行动网络才能发动攻击。
受此漏洞影响的行动装置不限于 Samsung 品牌,只要是采用 Exynos 芯片组的装置都受
到影响,包括:
Samsung 手机:S22、M33、M13、M12、A71、A53、A33、A21、A13、A12、A04 等系列;
Vivo 手机:S16、S15、S6、X70、X60、X30 系列;
Google 手机:Pixel 6、7 系列;
采用 Exynos W920 芯片的所有穿戴装置;
所有采用 Exynos Auto T5123 芯片组的汽车。
虽然 Samsung 已经向各品牌厂商提供暂时解决方案,但其修补软件并未公开,且无法由
用户自行安装。各用户可以暂时先停用 Wi-Fi Calling 和 VoLTE 功能,以避免 RCE 漏
洞遭到攻击。
5.心得/评论:
到底什么时候才会学乖改用台GG制的芯片啦!G粉都快变黑粉惹...