Google откри уязвимости “с висока степен на опасност” в много смартфони
Изследователското звено за сигурност на Google алармира за набор от уязвимости, открити в някои чипове на Samsung, вградени в десетки модели с Android, носими устройства и превозни средства.
То предупреждава, цитирано от TechCrunch, че недостатъците могат скоро да бъдат открити и използвани от зловредни играчи.
В публикация в блога си ръководителят на звеното за сигурност на Google - Project Zero, Тим Уилис обяснява, че неговият екип е открил и докладвал за 18 уязвимости от типа "Zero-day" в модемите Exynos, произведени от Samsung през последните няколко месеца. В това число четири уязвимости с най-висока степен на опасност, които могат да компрометират засегнатите устройства "безшумно и дистанционно" през клетъчната мрежа.
"Тестовете, проведени от Project Zero, потвърждават, че тези четири уязвимости позволяват на нападателя да компрометира телефона от разстояние без взаимодействие с потребителя. За целта се изисква единствено той да знае телефонния номер на жертвата", категоричен е Уилис.
Четири условия за по-добра киберсигурност на бизнесаКибератаките стават все по-сложни, а щетите от тях – все по-големи, затова компаниите трябва да са готови за това предизвикателство
Чрез тези уязвимости, по същество минаващи през модемите Exynos, които преобразуват клетъчните сигнали в цифрови данни, атакуващият би могъл да получи почти неограничен достъп до данните, които постъпват и излизат от засегнатото устройство, включително повиквания, текстови съобщения и клетъчни данни, без жертвата да е наясно с този факт.
Като цяло, рядко се случва Google или някоя друга компания за изследвания в сферата на сигурността да алармират за уязвимости с висока степен на опасност, преди те да бъдат отстранени. В случая обаче от Google смятат, че това е абсолютно необходимо.
Преди да направят информацията обществено достъпна, изследователите от Project Zero са дали 90 дни на Samsung, за да закърпи бъговете, но технологичният гигант все още не го е направил.
Според Project Zero засегнатите устройства включват близо дузина модели на Samsung, устройства на Vivo и собствените им телефони Pixel 6 и Pixel 7. Списъкът със засегнати включва още носими устройства и превозни средства, които разчитат на чиповете Exynos за връзка с клетъчната мрежа.
Докато засегнатите производители пуснат софтуерни актуализации за своите клиенти, заявяват от Google, потребителите могат да изключат Wi-Fi комуникациите и Voice-over-LTE (VoLTE) в настройките на своите устройства, което ще "премахне риска от експлоатация на тези уязвимости".