Google Project Zero - V pametnih telefonih, ki uporabljajo Samsungove čipe Exynos, so Googlovi raziskovalci v okviru Project Zero odkrili hude varnostne ranljivosti. Napadalcem za izrabo zadostuje poznavanje telefonske številke uporabnika, ki mu ni treba obiskati nobene spletne strani ali odpreti kakšnega sporočila. Delni popravki so že na voljo, a še niso dosegli vseh naprav. V vmesnem času zato svetujejo izkop VoLTE in VoWiFi.
Ranljivi so čipi Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080, Exynos Auto T512, ki najdemo v Samsungovih pametnih telefonih in urah, pa tudi marsikod drugod. Exynos Auto T512 imajo številna vozila s podporo za posodobitve OTA, Exynosi pa poganjajo tudi telefona Pixel 6 in 7. V vseh teh je vrsta povezanih ranljivosti, med katerimi so štiri resne. Ena je že dobila oznako CVE-2023-24033, druge tri pa še ne. Ker jih je možno izkoristiti sorazmerno enostavno, tehničnih podrobnosti niso razkrili.
Skupno so torej prizadete Samsungove naprave S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 in A04, telefoni znamke Vivo S16, S15, S6, X70, X60 in X30, Google Pixel 6 in 7 ter avtomobili. Posodobitve kapljajo počasi, ko posamezen proizvajalec izda popravek operacijskega sistema za konkretno napravo. Dotlej pa velja izključiti VoWiFi in VoLTE, kjer je to mogoče. Zlasti VoLTE imajo nekatere verzije telefonov permanentno vključen. Ranljivosti je Google Project Zero odkril pred 90 dnevi, a jih Samsung v tem času še ni odpravil. Skupno jih je bilo štirinajst, deset pa je zakrpanih.
Pojavi se vprasanje, zakaj GrapheneOSa ne uporabljajo vsi uporabniki Pixlov? Morda pa radi zivijo nevarno? Radi delijo podatke z raznimi oglasevalci ipd?
Ja. Pri ~1.45 govoriti o tem, kako Google svetuje izklop VoLTE, vendar to ni mogoče, ker v Androidovem UI-ju gumba za to ni (več) .
"Only physical beauty is the foundation for a true higher culture of
the mind and spirit as well. Only sun and steel will show you the path."
Beauty is absolutely terrifying to people because it highlights what is ugly.
Danes sem se naučil da so Tensorji samo modificirani Exynosi.
+1 "Tests conducted by Project Zero confirm that those four vulnerabilities allow an attacker to remotely compromise a phone at the baseband level with no user interaction, and require only that the attacker know the victim’s phone number."
