Google objevil vážnou zranitelnost v zabezpečení smartphonů Samsung

V čipech Exynos společnosti Samsung byla objevena závažná zranitelnost. Jihokorejský gigant oddaluje zavádění oprav?

Čipy Exynos společnosti Samsung jsou již několik let kritizovány za to, že nesplňují nabídku společnosti Qualcomm: špatná výdrž baterie, přehřívání, fotografický výkon a zejména spíše slabé videohry. Tyto obavy se staly pro Samsung skutečnou noční můrou , a proto jihokorejský gigant nenabídl Galaxy S23 s čipem Exynos v roce 2023. Nyní se očekává, že čipy Qualcomm budou v nadcházejících letech pohánět vlajkové smartphony Samsungu, ale to není to znamená, že se výrobce rozhodl je úplně vyřadit. Vyhradí si je pro svá zařízení základní a střední třídy.

V čipech Exynos společnosti Samsung byla objevena závažná zranitelnost

A i když bychom mohli říci, že situace s těmito čipy nemůže být horší, bezpečnostní tým Google Project Zero našel v těchto komponentách vážnou bezpečnostní chybu, přesněji řečeno ve firmwaru používaném modemy Exynos. Podle zprávy by hackeři mohli tuto chybu zabezpečení zneužít jednoduše odesláním škodlivé textové zprávy nebo infikováním telefonu instalací aplikace se škodlivým kódem.

Jakmile hackeři infikují svůj cíl, mohou převzít kontrolu nad mikrofonem, kamerou a dalšími senzory. Ještě horší je, že se mohou dostat k citlivým datům uloženým v zařízení, včetně hesel a fotografií. Příspěvek zveřejněný na blogu Project Zero také naznačuje, že zranitelnost je poměrně snadno zneužitelná, a to i pro týmy s relativně malým množstvím finančních prostředků.

Samsung odkládá zavádění oprav?

Celkem tým Project Zero našel nejméně 18 různých zranitelností ovlivňujících modemy Exynos. Čtyři z nich jsou mimořádně závažné a mohly by hackerům umožnit vzdálený přístup k telefonu bez jakékoli interakce uživatele. Budou potřebovat pouze telefonní číslo své potenciální oběti. Google odmítl sdělit podrobnosti o této zranitelnosti, protože ji lze velmi snadno zneužít. Zbytek zjištěných zranitelností je poměrně malý.

Tým Project Zero si je těchto nedostatků vědom od konce roku 2022 a tehdy na to upozornil Samsung. Jihokorejský gigant však stále nevydal opravu, přestože o ní věděl více než tři měsíce. Výzkumník projektu Project Zero dokonce veřejně kritizoval Samsung za pomalé vydávání opravy.

Na seznamu zařízení postižených těmito chybami zabezpečení je loňská vlajková loď, konkrétně Samsung Galaxy S23, dvě zařízení z řady M – Galaxy M33 a M13, několik z řady A – A71, A53, A33, A21s, A13, A12. a A04 – stejně jako Google Pixel 6 a Pixel 7. Kromě těchto zařízení se tato chyba týká také několika zařízení Vivo používajících stejný modem Exynos. Jedná se o Vivo S16, s15, S6, X70, X60 a X30. Google uvedl, že březnová bezpečnostní aktualizace opraví tyto chyby pro zařízení Pixel.

Koncoví uživatelé 90 dní po nahlášení stále nemají žádné opravy…. https://t.co/dkA9kuzTso

— Maddie Stone (@maddiestone) 16. března 2023