谷歌内部团队Project Zero长期以来致力于发现和修补移动硬件、软件、网络浏览器和开源库中的零日漏洞,日前该团队披露了search 三星Exynos芯片组中的一系列漏洞,这些漏洞广泛应用于各种移动设备。

根据该团队分析,其中四个严重漏洞允许互联网到基带的远程代码执行,测试证实,攻击者可以仅使用受害者的电话号码在基带级别破坏手机。他们认为,只要具备足够的技能,攻击者就可以完全悄无声息地远程利用这些漏洞。

由于主要的四个关键漏洞的严重性,项目组推迟了对漏洞利用工作原理的全面披露,表示由于这些漏洞提供的访问级别的组合非常罕见,而且其评估可以制作可靠的操作漏洞利用的速度,决定做出政策例外,以延迟披露允许Internet到基带远程代码执行的细节。

虽然补丁时间表因制造商而异,但谷歌2023年3月的安全更新修补了某些search Pixel 6和Pixel 7设备中最严重的CVE-2023-24033漏洞,但许多设备仍然容易受到报告中部分或所有漏洞的攻击。设备包括:

search 三星移动设备如S22、M33、M13、M12、A71、A53、A33、A21、A13、A12、A04系列

来自vivo的移动设备,包括S16、S15、S6、X70、X60和X30系列

search Google Pixelsearch Pixel 6 和 Pixel 7 系列设备

任何使用Exynos W920芯片组的可穿戴设备

任何使用Exynos Auto T5123芯片组的车辆

研究人员还建议,拥有受影响设备并正在等待安全补丁的用户可以通过在其设备设置中禁用Wi-Fi呼叫和LTE 语音 (VoLTE)来降低主要基带远程代码执行漏洞的风险。