画像クレジット: デビッド・ポール・モリス/ブルームバーグ
Google のセキュリティ研究部門は、多数の Android モデル、ウェアラブル デバイス、および車載の Samsung 製チップの一部に一連の脆弱性が発見されていることに警鐘を鳴らしています。
あ ブログGoogle の Project Zero の責任者である Tim Willis 氏は、社内のセキュリティ研究者が、過去数か月にわたって、Samsung 製の Exynos モデムに 18 のゼロデイ脆弱性を発見し、報告したと述べました。これには、セルラー ネットワークを介した 4 つの重大度の高い欠陥が含まれます。
「Project Zero が実施したテストでは、これら 4 つの脆弱性により、攻撃者はユーザーの介入なしにベースバンド レベルでリモートから電話を侵害できることが確認されました。攻撃者は被害者の電話番号を知っている必要があります」と Willis 氏は述べています。
デバイスのベースバンド レベルでコードをリモートで実行する機能 (基本的には、セル信号をデジタル データに変換する Exynos モデム) を取得することで、攻撃者は被害者のデバイスに出入りするデータへのほぼ自由なアクセスを取得できます。 被害者に警告することなく、携帯電話の通話、テキスト メッセージ、携帯電話のデータ。
開示が進むにつれて、Google (またはセキュリティ調査会社) が警告を受ける前に重大度の高い脆弱性を確認することはほとんどありません。 Google は、熟練した攻撃者は限られた研究と労力で「有効なエクスプロイトを迅速に開発できる」と述べ、リスクを一般に指摘しました。
プロジェクト・ゼロの研究者マディ・ストーン 彼はツイッターに書いた サムスンはバグを修正するために 90 日間の猶予を与えられましたが、まだ修正されていません。
サムスンが確認した 2023 年 3 月のセキュリティ リスト いくつかの Exynos モデムが脆弱であり、いくつかの Android デバイス メーカーに影響を与えていますが、その他の詳細はほとんど提供されていません。
Project Zero によると、影響を受けるデバイスには、ほぼ 10 の Samsung モデル、Vivo デバイス、Google の Pixel 6 および Pixel 7 ハンドセットが含まれます。 影響を受けるデバイスには、セルラー ネットワークに接続するために Exynos チップに依存するウェアラブルや車両が含まれます。
Google によると、パッチはメーカーによって異なりますが、Pixel デバイスには既にパッチが適用されているとのことです。 3 月のセキュリティ更新プログラム.
自分自身を保護したいユーザーは、影響を受けるメーカーが顧客にソフトウェア更新プログラムを発行するまで、デバイス設定で Wi-Fi 通話と Voice-over-LTE (VoLTE) を無効にすることができます。これにより、「これらの脆弱性を悪用するリスクが排除されます」。
Google は、残りの 14 の脆弱性は、デバイスへのアクセス、または携帯電話会社の設定への内部アクセスまたは特権アクセスを必要とするため、深刻度が低いと述べています。
