谷歌零号计划的安全研究人员再次出击。这些安全专家的任务是寻找零日漏洞,他们刚刚宣布,在过去几个月里,他们在三星制造的 Exynos 调制解调器中发现了至少 18 个此类缺陷。
四个高度严重的零日漏洞
在这 18 个漏洞中,其中 4 个漏洞被认为非常重要,因为它们已被恶意灵魂利用,在多个设备的基带中远程执行代码。
“零号项目的测试证实,这四个漏洞允许攻击者在基带级别远程破坏手机,而无需用户交互,并且只需要攻击者知道受害者的电话号码。 »谷歌安全研究人员解释一下。“通过有限的额外研究和开发,我们相信熟练的攻击者将能够快速创建有效的漏洞,以静默和远程方式危害受影响的设备。 »研究人员说。
发现的其他 14 个零日缺陷不太严重。事实上,要被利用,它们需要恶意移动网络运营商或具有相关设备本地访问权限的攻击者。
数十台设备受到这些零日漏洞的影响
三星在其网站上提供了受这些零日缺陷影响的 Exynos 芯片组列表。至少我们可以说的是,受这些漏洞影响的设备列表相当大。相关产品如下:
- 三星 Galaxy S22、M33、M13、12、A71、A53、A33、A21、A13、A12 和 A04 智能手机
- Les 智能手机 Vivo S16、S15、S6、X70、X60 等 X30
- 谷歌 Pixel 6 和 Pixel 7
- 所有配备 Exynos W920 芯片组的设备(特别是配备 Galaxy Samsung Watch 4 的设备)
- 所有使用 Exynos Auto T5123 芯片组的车辆(用于为车辆提供 5G 连接)
虽然补丁更新已经应用于某些设备,例如 Pixel 6 和 Pixel 7,但零项目研究人员认为,为某些设备获取补丁的时间表将根据制造商的不同而有所不同。因此,他们强烈建议安装制造商提供的设备更新。在等待所有相关制造商调查该问题的同时,安全研究人员给出了一些建议。为了限制攻击风险,他们建议在设备设置中禁用 Wi-Fi 通话和 LTE 语音 (VoLTE)。
来源 : 谷歌零号计划
