Google warnt Nutzer davor, Schritte zum Schutz vor aus der Ferne ausnutzbaren Fehlern in beliebten Android-Telefonen zu unternehmen
Die Security Research Unit von Google schlägt Alarm wegen einer Reihe von Schwachstellen, die sie in einigen Samsung-Chips gefunden hat, die in Dutzenden von Modellen, Wearables und Fahrzeugen von Android enthalten sind, und befürchtet, dass die Fehler bald entdeckt werden und ausgebeutet.
In einem Blogbeitrag sagte Tim Willis, Leiter von Googles Project Zero, dass interne Sicherheitsforscher 18 Zero-Day-Schwachstellen in Exynos-Modems entdeckt und gemeldet haben, die in den letzten paar Jahren von Samsung hergestellt wurden, darunter vier der schwerwiegendsten Fehler die betroffene Geräte "still und aus der Ferne" über das Mobilfunknetz gefährden könnten.
"Tests von Project Zero bestätigen, dass diese vier Schwachstellen es einem Angreifer ermöglichen, ein Telefon auf Basisbandebene ohne Benutzerinteraktion aus der Ferne zu kompromittieren, und dass der Angreifer lediglich die Telefonnummer des Telefons des Opfers kennen muss", sagte Willis.
Durch die Fähigkeit, Code auf der Basisbandebene eines Geräts (im Wesentlichen Exynos-Modems, die Mobilfunksignale in digitale Daten umwandeln) remote auszuführen, könnte ein Angreifer nahezu unbegrenzten Zugriff auf Daten erhalten, die in ein betroffenes Gerät ein- und ausgehen. Gerät, einschließlich Mobilfunkanrufe, Textnachrichten und Mobilfunkdaten, ohne das Opfer zu benachrichtigen.
Während die Offenlegungen eintrudeln, ist es selten, dass Google – oder irgendein anderes Sicherheitsforschungsunternehmen – bei Sicherheitslücken mit hohem Schweregrad Alarm schlägt, bevor sie gepatcht werden. Google wies die Öffentlichkeit auf das Risiko hin und erklärte, dass erfahrene Angreifer mit begrenzter Recherche und Aufwand "schnell einen funktionierenden Exploit erstellen könnten".
Project Zero-Forscherin Maddie Stone schrieb auf Twitter, dass Samsung 90 Tage Zeit hat, um die Fehler zu beheben, dies aber noch nicht getan hat.
Samsung bestätigte in einer Sicherheitsliste vom März 2023, dass mehrere Exynos-Modems anfällig sind und mehrere Hersteller von Android-Geräten betreffen, lieferte jedoch nur wenige weitere Details.
Laut Project Zero gehören zu den betroffenen Geräten fast ein Dutzend Samsung-Modelle, Vivo-Geräte und Googles Pixel 6- und Pixel 7-Handys. Zu den betroffenen Geräten gehören auch Wearables und Fahrzeuge, die auf Exynos-Chips angewiesen sind, um sich mit dem Mobilfunknetz zu verbinden.
Google sagte, dass die Korrekturen je nach Hersteller variieren würden, merkte aber an, dass seine Pixel-Geräte bereits mit den März-Sicherheitsupdates gepatcht sind.
Bis betroffene Hersteller Software-Updates an ihre Kunden senden, sagt Google, dass Nutzer, die sich schützen möchten, Wi-Fi-Anrufe und Voice over LTE (VoLTE) in den Einstellungen ihres Geräts deaktivieren können, was „das Risiko einer Ausnutzung dieser ausschließt Schwachstellen.“
Google sagte, die verbleibenden 14 Schwachstellen seien weniger schwerwiegend, da sie entweder Zugriff auf ein Gerät oder privilegierten oder privilegierten Zugriff auf die Systeme eines Mobilfunkanbieters erforderten.
Die Security Research Unit von Google schlägt Alarm wegen einer Reihe von Schwachstellen, die sie in einigen Samsung-Chips gefunden hat, die in Dutzenden von Modellen, Wearables und Fahrzeugen von Android enthalten sind, und befürchtet, dass die Fehler bald entdeckt werden und ausgebeutet.
In einem Blogbeitrag sagte Tim Willis, Leiter von Googles Project Zero, dass interne Sicherheitsforscher 18 Zero-Day-Schwachstellen in Exynos-Modems entdeckt und gemeldet haben, die in den letzten paar Jahren von Samsung hergestellt wurden, darunter vier der schwerwiegendsten Fehler die betroffene Geräte "still und aus der Ferne" über das Mobilfunknetz gefährden könnten.
"Tests von Project Zero bestätigen, dass diese vier Schwachstellen es einem Angreifer ermöglichen, ein Telefon auf Basisbandebene ohne Benutzerinteraktion aus der Ferne zu kompromittieren, und dass der Angreifer lediglich die Telefonnummer des Telefons des Opfers kennen muss", sagte Willis.
Durch die Fähigkeit, Code auf der Basisbandebene eines Geräts (im Wesentlichen Exynos-Modems, die Mobilfunksignale in digitale Daten umwandeln) remote auszuführen, könnte ein Angreifer nahezu unbegrenzten Zugriff auf Daten erhalten, die in ein betroffenes Gerät ein- und ausgehen. Gerät, einschließlich Mobilfunkanrufe, Textnachrichten und Mobilfunkdaten, ohne das Opfer zu benachrichtigen.
Während die Offenlegungen eintrudeln, ist es selten, dass Google – oder irgendein anderes Sicherheitsforschungsunternehmen – bei Sicherheitslücken mit hohem Schweregrad Alarm schlägt, bevor sie gepatcht werden. Google wies die Öffentlichkeit auf das Risiko hin und erklärte, dass erfahrene Angreifer mit begrenzter Recherche und Aufwand "schnell einen funktionierenden Exploit erstellen könnten".
Project Zero-Forscherin Maddie Stone schrieb auf Twitter, dass Samsung 90 Tage Zeit hat, um die Fehler zu beheben, dies aber noch nicht getan hat.
Samsung bestätigte in einer Sicherheitsliste vom März 2023, dass mehrere Exynos-Modems anfällig sind und mehrere Hersteller von Android-Geräten betreffen, lieferte jedoch nur wenige weitere Details.
Laut Project Zero gehören zu den betroffenen Geräten fast ein Dutzend Samsung-Modelle, Vivo-Geräte und Googles Pixel 6- und Pixel 7-Handys. Zu den betroffenen Geräten gehören auch Wearables und Fahrzeuge, die auf Exynos-Chips angewiesen sind, um sich mit dem Mobilfunknetz zu verbinden.
Google sagte, dass die Korrekturen je nach Hersteller variieren würden, merkte aber an, dass seine Pixel-Geräte bereits mit den März-Sicherheitsupdates gepatcht sind.
Bis betroffene Hersteller Software-Updates an ihre Kunden senden, sagt Google, dass Nutzer, die sich schützen möchten, Wi-Fi-Anrufe und Voice over LTE (VoLTE) in den Einstellungen ihres Geräts deaktivieren können, was „das Risiko einer Ausnutzung dieser ausschließt Schwachstellen.“
Google sagte, die verbleibenden 14 Schwachstellen seien weniger schwerwiegend, da sie entweder Zugriff auf ein Gerät oder privilegierten oder privilegierten Zugriff auf die Systeme eines Mobilfunkanbieters erforderten.
What's Your Reaction?
