В микросхемах Samsung найдено 18 «дыр», которые могут привести к автокатастрофам

Четыре критических уязвимости

Сразу 18 уязвимостей нулевого дня нашли эксперты Google Project Zero в чипсетах Samsung Exynos. Эти чипсеты используются в мобильных и носимых устройствах, а также автомобилях.

Уязвимости выявлялись на протяжении конца 2022 — начала 2023 гг. Четыре из них обозначены как наиболее опасные, поскольку допускают запуск произвольного кода. Пока только одна из них получила CVE-индекс: CVE-2023-24033. Остальные ждут своей очереди.

Эти баги позволяют злоумышленникам перехватывать контроль над уязвимыми устройствами удаленно и без какого-либо участия самого пользователя, то есть, относятся к самой опасной разновидности.

«Программное обеспечение основной полосы частот не проверяет должным образом типы формата у атрибута accept-type, прописанные в SDP, что может привести к отказу в обслуживании или выполнению кода в модеме Samsung Baseband Modem», — говорится в бюллетене Samsung касательно уязвимости CVE-2023-24033.

Фото: © tbtb / Фотобанк Фотодженика Автомобильные чипсеты Samsung полны уязвимостей

Все, что злоумышленнику нужно, чтобы произвести атаку, это телефонный номер жертвы, — заявил глава ProjectZero Тим Уиллис (Tim Willis).

Более того, у опытных злоумышленников есть возможность создать эксплойт, который будет удаленно компрометировать уязвимые устройства, не привлекая внимания со стороны пользователя.

Некритические уязвимости — тоже проблема

Еще 14 уязвимостей (CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 и девять других, которым до сих пор не присвоены CVE-индексы) не являются столь же критическими, но тоже представляют серьезную угрозу. Для их успешной эксплуатации нужен локальный доступ или инсайдерская атака со стороны мобильного оператор.

Дмитрий Исаев, Softline: На рынке окончательно сформировался тренд на миграцию крупных компаний в частные облака Маркет

Примерный список уязвимых устройств Samsung обширен. Проблема присутствует во всех мобильных устройствах серий S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04 series. Уязвимы мобильные устройства вендора Vivo серий S16, S15, S6, X70, X60 и X30. Проблема есть в мобильных устройствах Google — Pixel 6 и Pixel 7. Также уязвимы все носимые устройства, использующие чипсет Exynos W920, и транспортные средства с чипсетом Exynos Auto T5123 на борту.

«Автомобильные чипсеты, к счастью, не используются в критических бортовых системах, они применяются для обеспечения бортовой infotainment-системы связью 5G, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — С другой стороны, если в самой бортовой системе не реализовано жесткое разграничение между критическими и некритическими системами, используя эту уязвимость, хакеры в теории могут добраться до подсистем, отвечающих за двигатель, тормоза, блокировку дверей и так далее. К сожалению, случаи, когда изоляция систем друг от друга реализована из рук вон плохо, не так уж редки».

Samsung к настоящему времени выпустил обновления для всех чипсетов, но не все вендоры конечных устройств выпустили свои исправления.

Пользователи могут отключить вызовы по Wi-Fi и VoLTE для минимизации рисков, но главное — не затягивать с установкой обновлений, когда они появятся.