El equipo Project Zero de Google ha descubierto 18 vulnerabilidades de día cero en ciertos conjuntos de chips Samsung Exynos, lo que lleva a los atacantes a comprometer dispositivos de forma remota.
Mientras que algunos requieren acceso local, otros solo necesitan un número de teléfono para atacar. Los dispositivos móviles, los automóviles y los dispositivos portátiles que utilizan los chips Exynos están en riesgo. Aunque Samsung lanzó los parches para estos errores, los OEM finales aún no los han pasado a sus usuarios.
Errores de seguridad en chips Samsung
Project Zero de Google ha identificado 18 errores de día cero en los chips Samsung Exynos, todos informados entre finales de 2022 y principios de 2023. Cuatro de los 18 errores de día cero se calificaron como graves, lo que permitió ataques RCE desde la Internet del dispositivo a la banda base.
Investigadores nota que los exinos “El software de banda base no verifica correctamente los tipos de formato del atributo de tipo de aceptación especificado por el SDP”, dando lugar a ataques DoS o RCE. Lo que es más intrigante aquí es que el vector inicial que necesita un atacante es solo el número de teléfono del objetivo para tirar del ataque.
Los usuarios finales aún no tienen parches 90 días después del informe… https://t.co/dkA9kuzTso
— Maddie Piedra (@maddiestone) 16 de marzo de 2023
Los otros 14 errores no son tan graves, pero representan un riesgo suficiente para que los usuarios se vean comprometidos. La explotación exitosa de estos requiere alguna forma de acceso local o un operador de red móvil malicioso, señalan los investigadores. Los dispositivos afectados en esta búsqueda son los que usan ciertos chips Samsung, como se muestra a continuación;
- Dispositivos móviles como las series Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04;
- Dispositivos móviles de la marca Vivo, a saber, las series S16, S15, S6, X70, X60 y X30;
- las series Pixel 6 y Pixel 7 de Google;
- Cualquier dispositivo portátil que use el chipset Exynos W920;
- Cualquier vehículo que utilice el chipset Exynos Auto T5123.
Aunque Samsung ya ha lanzado parches para estos errores, los OEM asociados deben pasárselos a los usuarios finales. Y dado que su línea de tiempo de actualización difiere en función de numerosos factores, debe asumir que no es seguro hasta que lleguen.
Google ya abordó el CVE-2023-24033 para dispositivos Pixel afectados en su actualización de seguridad de marzo de 2023, mientras que otros fabricantes de equipos originales aún están preparando los parches en sus próximas actualizaciones. Hasta entonces, Se recomienda a los usuarios que desactiven las funciones de llamadas Wi-Fi y Voice-over-LTE (VoLTE) de sus dispositivos para eliminar el vector de ataque.
