Google on havainnut vakavan haavoittuvuuden Samsungin älypuhelimien tietoturvassa

Samsungin Exynos-siruista on löydetty vakava haavoittuvuus. Etelä-Korean jättiläinen viivyttää korjaustiedoston käyttöönottoa?

Samsungin Exynos-sirut ovat jo useiden vuosien ajan joutuneet paljon kritiikkiin, koska ne eivät täytä Qualcommin tarjontaa: huono akunkesto, ylikuumeneminen, valokuvan suorituskyky ja varsinkin melko heikot videopelit. Näistä peloista on tullut Samsungille todellinen painajainen , minkä vuoksi eteläkorealainen jättiläinen ei tarjonnut Exynos-sirulla varustettua Galaxy S23:aa vuonna 2023. Qualcomm-sirujen odotetaan nyt toimivan Samsungin lippulaivapuhelimissa tulevina vuosina, mutta se ei auta. tarkoittaa, että valmistaja on päättänyt luopua niistä kokonaan. Hän varaa ne lähtötason ja keskitason laitteilleen.

Samsungin Exynos-siruista löydettiin vakava haavoittuvuus

Ja vaikka voisimme sanoa, että tilanne näiden sirujen kanssa ei voisi olla huonompi, Google Project Zero -tietoturvatiimi on löytänyt vakavan tietoturvavirheen näissä komponenteissa, erityisesti Exynos-modeemien käyttämässä laiteohjelmistossa. Raportin mukaan hakkerit voivat hyödyntää tätä haavoittuvuutta yksinkertaisesti lähettämällä haitallisen tekstiviestin tai saastuttamalla puhelimen asentamalla haitallista koodia sisältävän sovelluksen.

Kun hakkerit tartuttavat kohteensa, he voivat ottaa mikrofonin, kameran ja muut anturit hallintaansa. Vielä pahempaa, he voivat käyttää laitteeseen tallennettuja arkaluonteisia tietoja, kuten salasanoja ja valokuvia. Project Zero -blogissa julkaistu postaus osoittaa myös, että haavoittuvuutta on melko helppo hyödyntää jopa suhteellisen vähän varoja käyttävillä tiimeillä.

Samsung viivyttää korjaustiedoston käyttöönottoa?

Project Zero -tiimi löysi yhteensä vähintään 18 erilaista Exynos-modeemeihin vaikuttavaa haavoittuvuutta. Neljä näistä on erittäin vakavia ja voivat antaa hakkereille mahdollisuuden käyttää puhelinta etänä ilman käyttäjän toimia. He tarvitsevat vain mahdollisen uhrinsa puhelinnumeron. Google kieltäytyi jakamasta tietoja tästä haavoittuvuudesta, koska sitä voidaan hyödyntää erittäin helposti. Loput tunnistetut haavoittuvuudet ovat melko vähäisiä.

Project Zero -tiimi on ollut tietoinen näistä puutteista vuoden 2022 lopusta lähtien, ja silloin he varoittivat Samsungia. Etelä-Korean jättiläinen ei kuitenkaan ole vieläkään julkaissut korjausta, vaikka se on tiennyt siitä yli kolme kuukautta. Project Zero -tutkija jopa kritisoi julkisesti Samsungia hitaasta päivityksen julkaisemisesta.

Näiden haavoittuvuuksien kohteena olevien laitteiden luettelo sisältää viime vuoden lippulaivan, nimittäin Samsung Galaxy S23:n, kaksi M-sarjan laitetta – Galaxy M33 ja M13, useita A-sarjan laitteita – A71, A53, A33, A21s, A13, A12. ja A04 – sekä Google Pixel 6 ja Pixel 7. Näiden laitteiden lisäksi tämä vika vaikuttaa myös useisiin Vivo-laitteisiin, jotka käyttävät samaa Exynos-modeemia. Nämä ovat Vivo S16, s15, S6, X70, X60 ja X30. Google sanoi, että maaliskuun tietoturvapäivitys korjaa nämä Pixel-laitteiden puutteet.

Loppukäyttäjillä ei ole vieläkään korjauksia 90 päivän kuluttua raportista…. https://t.co/dkA9kuzTso

— Maddie Stone (@maddiestone) 16. maaliskuuta 2023