Ende letzten Jahres und Anfang dieses Jahres hat das Project Zero von Google 18 Zero-Day-Schwachstellen in Exynos-Modems von Samsung Semiconductor gemeldet. Die schwerwiegendsten dieser Schwachstellen ermöglichen eine Remotecodeausführung auf Basisbandebene ohne Benutzerinteraktion, da der Angreifer nur die Telefonnummer des Opfers kennen muss.
Es wird erwartet, dass in Kürze ein Patch für die betroffenen Geräte zur Verfügung steht. Samsung informiert auch über die Schwachstellen. In der Zwischenzeit können die Nutzer das Risiko minimieren, indem sie in den Geräteeinstellungen Wi-Fi-Calling und Voice-over-LTE (VoLTE) deaktivieren.
Betroffen sind einige Samsung-Geräte, Vivo-Geräte, Pixel 6 und Pixel 7 sowie Wearables und Fahrzeuge mit Exynos-Chipsatz. Im Detail schaut die Liste so aus:
- Mobilgeräte von Samsung, einschließlich der Geräte der Serien S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 und A04
- Mobilgeräte von Vivo, einschließlich der Geräte der Serien S16, S15, S6, X70, X60 und X30
- die Geräte der Pixel 6- und Pixel 7-Serie von Google
- alle Wearables, die den Exynos W920-Chipsatz verwenden
- und alle Fahrzeuge, die den Exynos Auto T5123-Chipsatz verwenden
Vierzehn weitere Schwachstellen sind weniger schwerwiegend und erfordern entweder einen „böswilligen“ Mobilfunkbetreiber oder einen Angreifer mit lokalem Zugriff. Vier der schwerwiegendsten Schwachstellen werden von Project Zero zurückgehalten, da sie die schnelle Entwicklung eines funktionierenden Exploits ermöglichen könnten.