Багхантеры из команды Google выявили 18 уязвимостей нулевого дня (0-day) в процессорах Samsung Exynos, которые используются в некоторых моделях популярных смартфонов, ряде умных девайсов и даже автомобилях.
Четыре дыры из этого набора были признаны наиболее опасными: с их помощью злоумышленники могут выполнить вредоносный код удалённо. Одна такая брешь уже получила идентификатор — CVE-2023-24033, три другие пока ждут его.
«Процессор основной полосы частот недостаточно проверяет типы формата атрибута “accept-type“, указанные SDP. В результате это может привести к DoS и выполнению кода в Samsung Baseband Modem», — описывает CVE-2023-24033 сама корпорация Samsung.
Единственная информация, необходимая злоумышленникам для атаки, — телефонный номер жертвы. Об это заявил Тим Уиллис из команды Project Zero. Более того, опытные киберпреступники могут создать эксплойт, способный удалённо взломать мобильное устройство без взаимодействия с пользователем.
Из оставшихся 14 уязвимостей пока только пять получили трекеры: CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076. Они не настолько опасны, хотя в определённых условиях также создают определённые риски.
Среди подтверждённых затронутых устройств эксперты называют следующие:
- смартфоны Samsung моделей S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04;
- смартфоны Vivo моделей S16, S15, S6, X70, X60 и X30;
- устройства Pixel 6 и Pixel 7 от Google;
- носимые умные устройства, оснащённые процессором Exynos W920;
- автомобили, использующие чипсет Exynos Auto T5123.