谷歌零號計畫的安全研究人員再次出擊。這些安全專家的任務是尋找零時差漏洞,他們剛剛宣布,在過去幾個月裡,他們在三星製造的 Exynos 數據機中發現了至少 18 個此類缺陷。
四個高度嚴重的零日漏洞
在這 18 個漏洞中,其中 4 個漏洞被認為非常重要,因為它們已被惡意靈魂利用,在多個裝置的基頻中遠端執行程式碼。
「零號項目的測試證實,這四個漏洞允許攻擊者在基帶級別遠端破壞手機,而無需用戶交互,並且只需要攻擊者知道受害者的電話號碼。 »谷歌安全研究人員解釋一下。「透過有限的額外研究和開發,我們相信熟練的攻擊者將能夠快速創建有效的漏洞,以靜默和遠端方式危害受影響的設備。 »研究人員說。
發現的其他 14 個零日缺陷不太嚴重。事實上,要被利用,它們需要惡意行動網路營運商或具有相關設備本地存取權限的攻擊者。
數十台設備受到這些零日漏洞的影響
三星在其網站上提供了受這些零日漏洞影響的 Exynos 晶片組清單。至少我們可以說的是,受這些漏洞影響的設備清單相當大。相關產品如下:
- 三星 Galaxy S22、M33、M13、12、A71、A53、A33、A21、A13、A12 和 A04 智慧型手機
- Les 智慧型手機 Vivo S16、S15、S6、X70、X60 等 X30
- Google Pixel 6 和 Pixel 7
- 所有配備 Exynos W920 晶片組的裝置(特別是配備 Galaxy Samsung Watch 4 的裝置)
- 所有使用 Exynos Auto T5123 晶片組的車輛(用於為車輛提供 5G 連接)
雖然補丁更新已應用於某些設備,例如 Pixel 6 和 Pixel 7,但零項目研究人員認為,為某些設備獲取補丁的時間表將根據製造商的不同而有所不同。因此,他們強烈建議安裝製造商提供的設備更新。在等待所有相關製造商調查該問題的同時,安全研究人員給出了一些建議。為了限制攻擊風險,他們建議在裝置設定中停用 Wi-Fi 通話和 LTE 語音 (VoLTE)。
來源 : Google零號計劃
