קריאת אזהרה: מכשירי אנדרואיד עם שבבי סמסונג חשופים ל-"חטיפה"

מומחי אבטחה של גוגל מזהירים את משתמשי אנדרואיד מפני פגיעויות יום אפס בחלק מערכות השבבים של סמסונג, שעלולות לאפשר לתוקף לחטוף לחלוטין ולשלוט מרחוק במכשיריהם בעזרת מספר הטלפון בלבד.

לפי טים וויליס, שעומד בראש צוות החוקרים, בין סוף 2022 לתחילת השנה, Project Zero של גוגל מצא ודיווח על 18 פגיעויות בקושחת המודם הסלולרי Exynos של סמסונג. ארבע מתוך 18 הפגיעויות, ארבע הן פגיעויות יום אפס (שכבר נוצלו) שיכולות לאפשר הפעלת קוד מרחוק מהאינטרנט לתדר הבסיס. הרכיב של תדר הבסיס, או המודם, של מכשיר יש בדרך כלל גישה ברמה נמוכה לכל החומרה, ולכן ניצול באגים בקוד שלו יכול לתת לפורץ שליטה מלאה בטלפון או במכשירים אחרים. הפרטים הטכניים של חורי האבטחה האלה הוסתרו לעת עתה כדי להגן על משתמשים בציוד פגיע.

"בדיקות שבוצעו על ידי Project Zero מאשרות שארבע נקודות התורפה הללו מאפשרות לתוקף לסכן מרחוק טלפון ברמת תדר הבסיס ללא אינטראקציה של המשתמש, ודורשות רק שהתוקף יידע את מספר הטלפון של הקורבן", כתב וויליס בפירוט של ליקויי האבטחה. "עם מחקר ופיתוח נוספים, אנו מאמינים שתוקפים מיומנים יוכלו ליצור במהירות ניצול תפעולי כדי לתקוף מכשירים מושפעים בשקט ומרחוק", הוסיף.

לאחד מארבעת הבאגים החמורים הללו הוקצה מספר CVE, והוא מזוהה כ-CVE-2023-24033. שלושת האחרים ממתינים למספר זיהוי.

יתר 14 הבעיות אינן חמורות כל כך, ודורשות "מפעיל רשת סלולרית זדונית, או תוקף עם גישה מקומית למכשיר", לדברי וויליס. אלה מזוהות כ-CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 ועוד תשע נקודות תורפה שטרם הוקצו להם מזהים.

המכשירים המושפעים כוללים את אלה המשתמשים בסדרת השבבים של סמסונג: S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 ו-A04 של סמסונג; מכשירי ויבו ניידים כולל סדרת S16, S15, S6, X70, X60 ו-X30; סדרת המכשירים Pixel 6 ו-Pixel 7 מבית גוגל; וכלי רכב המשתמשים בערכת השבבים Exynos Auto T5123. גוגל פרסמה תיקון עבור באג CVE-2023-24033, המשפיע על מכשירי Pixel בעדכון האבטחה שלה בחודש מרץ. עד שהיצרנים האחרים ישחררו תיקונים, וויליס מציע לכבות את שיחות ה-Wi-Fi ואת VoLTE (ר"ת Voice-over-LTE) כדי להגן מפני ביצוע קוד מרחוק בתדר הבסיס למי שמשתמשים במכשיר פגיע המופעל על ידי השבב של סמסונג. וכמו תמיד, החברה ממליצה לעדכן את הגאדג'טים ברגע שעדכוני התוכנה יהיו זמינים.

הצוות של גוגל – ורוב חוקרי האבטחה – מקפידים על הגבלת זמן חשיפה של 90 יום, כלומר לאחר שהם מדווחים על הבאג לספק החומרה או התוכנה, לספק יש 90 יום לתקנם. לאחר מכן, החוקרים חושפים את הפגם לציבור. עם זאת, בכמה מקרים נדירים וקריטיים מאוד, שבהם "התוקפים ירוויחו באופן משמעותי יותר מהמגינים אם תיחשף פגיעות", ציידי הבאגים חורגים מההגבלה ומעכבים את החשיפה, ציין וויליס. זה המקרה עם ארבע פגיעויות יום אפס, המאפשרות גישה מרחוק מהאינטרנט לתדר הבסיס. מתוך 14 הפגיעויות הפחות חמורות שנותרו, Project Zero חשף ארבע שחרגו ממועד 90 הימים. 10 האחרות ישוחררו לציבור אם יגיעו לרף 90 הימים ללא תיקונים, הוסיף וויליס.