Samsung cihazlarda arıza keşfedildi, biran önce önlem alınmalı
Google'ın sıfır gün hata avlama ekibi Project Zero, Samsung'un mobil cihazlarda, giyilebilir cihazlarda ve otomobillerde kullanılan Exynos yonga setlerinde 18 sıfır gün güvenlik açığı keşfetti ve raporladı.
Exynos modem güvenlik açıkları 2022'nin sonları ile 2023'ün başları arasında rapor edildi. İnternetten ana banda uzaktan kod yürütülmesine olanak tanıyan on sekiz sıfır günden dördü en ciddi olarak tanımlandı.
Bu internetten ana banda uzaktan kod yürütme (RCE) hataları (CVE-2023-24033 ve hala CVE-ID bekleyen diğer üç hata dahil) saldırganların savunmasız cihazları uzaktan ve herhangi bir kullanıcı etkileşimi olmadan tehlikeye atmasına olanak tanır.
Samsung, CVE-2023-24033 güvenlik açığını açıklayan bir güvenlik danışmanlığında "Ana bant yazılımı, SDP tarafından belirtilen accept-type özniteliğinin biçim türlerini düzgün bir şekilde kontrol etmiyor, bu da Samsung Ana Bant Modemde hizmet reddine veya kod yürütülmesine yol açabilir" diyor.
Project Zero Başkanı Tim Willis'e göre saldırıların gerçekleşmesi için gereken tek bilgi kurbanın telefon numarası.
Daha da kötüsü, deneyimli saldırganlar çok az bir ek araştırmayla, hedeflerin dikkatini çekmeden savunmasız cihazları uzaktan tehlikeye atabilecek bir istismarı kolayca yaratabilirler.
Willis, "Bu güvenlik açıklarının sağladığı erişim seviyesinin çok nadir bir kombinasyonu ve güvenilir bir operasyonel istismarın hazırlanabileceğine inandığımız hız nedeniyle, İnternetten banda uzaktan kod çalıştırmaya izin veren dört güvenlik açığının açıklanmasını geciktirmek için bir politika istisnası yapmaya karar verdik" dedi.
Geriye kalan 14 açık (CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 ve CVE-ID bekleyen diğer dokuz açık dahil) o kadar kritik olmamakla birlikte yine de risk teşkil etmektedir. Başarılı bir istismar, yerel erişim veya kötü niyetli bir mobil ağ operatörü gerektirir.
Samsung tarafından sağlanan etkilenen yonga setleri listesine dayanarak, etkilenen cihazların listesi aşağıdakileri içerir, ancak muhtemelen bunlarla sınırlı değildir:
- Samsung'un S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ve A04 serisi mobil cihazları;
- S16, S15, S6, X70, X60 ve X30 serileri de dahil olmak üzere Vivo'nun mobil cihazları;
- Google'ın Pixel 6 ve Pixel 7 serisi cihazları;
- Exynos W920 yonga setini kullanan tüm giyilebilir cihazlar;
- Exynos Auto T5123 yonga setini kullanan tüm araçlar.
Etkilenen cihazlar için geçici çözüm yayınlandı
Samsung, etkilenen yonga setlerindeki bu güvenlik açıklarını ele alan güvenlik güncellemelerini diğer satıcılara zaten sağlamış olsa da, yamalar herkese açık değildir ve etkilenen tüm kullanıcılar tarafından uygulanamaz.
Her üreticinin kendi cihazları için yama zaman çizelgesi farklı olacaktır, ancak örneğin Google, Mart 2023 güvenlik güncellemelerinde etkilenen Pixel cihazları için CVE-2023-24033'ü zaten ele almıştır.
Bununla birlikte, yamalar kullanıma sunulana kadar kullanıcılar, saldırı vektörünü ortadan kaldırmak için Wi-Fi aramayı ve Voice-over-LTE'yi (VoLTE) devre dışı bırakarak cihazlarındaki Samsung'un Exynos yonga setlerini hedef alan temel bant RCE istismar girişimlerini engelleyebilirler.
Samsung ayrıca Project Zero'nun geçici çözümünü doğrulayarak "kullanıcıların bu güvenlik açığının etkisini azaltmak için WiFi aramasını ve VoLTE'yi devre dışı bırakabileceğini" söyledi.
Willis, "Her zaman olduğu gibi, hem açıklanan hem de açıklanmayan güvenlik açıklarını düzelten en son yapıları çalıştırdıklarından emin olmak için son kullanıcıları cihazlarını mümkün olan en kısa sürede güncellemeye teşvik ediyoruz" diye ekledi.