Google sta attirando l’attenzione su una serie di pericolose falle di sicurezza zero-day nei chip Exynos di Samsung, alcune delle quali potrebbero essere sfruttate da remoto per compromettere completamente un telefono senza richiedere l’interazione dell’utente.
Project Zero, il team di ricerca delle vulnerabilità zero-day di Google, ha scoperto e segnalato 18 vulnerabilità nei chip Exynos di Samsung. Più precisamente, il colpevole sarebbe il modem dei chip. Il modem è utilizzato nei dispositivi mobile, negli indossabili e nelle automobili dell’azienda. Tra i dispositivi interessati ci sono anche i Pixel 6 e 7, che utilizzano un chip Tensor basato su processori Exynos, ma anche alcuni smartphone di fascia media di vivo.
Tim Willis, responsabile del Project Zero di Google, ha dichiarato in un post sul blog che quattro delle vulnerabilità, tra cui CVE-2023-24033, comportano l’esecuzione di codice remoto da internet alla banda base, il che significa che un utente malintenzionato può facilmente accedere allo smartphone da remoto senza che l’utente se ne accorga.
Il vostro numero di telefono è sufficiente per hackerare il vostro smartphone
I test condotti da Project Zero hanno quindi confermato che alcune vulnerabilità consentono a un hacker di compromettere da remoto un telefono senza alcuna interazione con l’utente, e che è sufficiente conoscere il numero di telefono della vittima per prendere il controllo del dispositivo.
Ecco l’elenco dei dispositivi vulnerabili:
- Dispositivi mobile Samsung incluse le serie S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04
- Dispositivi mobile vivo incluse le serie S16, S15, S6, X70, X60 e X30
- Serie Google Pixel 6 e Pixel 7
- Oggetti connessi utilizzando il chip Exynos W920, incluso il Samsung Galaxy Watch 4 e 5
- Veicoli che utilizzano il chip Exynos Auto T5123
“Come sempre, incoraggiamo gli utenti finali ad aggiornare i propri dispositivi il prima possibile, per assicurarsi che siano in esecuzione le versioni più recenti che risolvono le vulnerabilità di sicurezza divulgate e non divulgate”, ha aggiunto Willis. Per la vostra sicurezza, si raccomanda sempre di aggiornare il dispositivo non appena è disponibile una nuova versione.
Le altre 14 falle (tra cui CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 e nove CVE-ID in sospeso) non sono così critiche, ma rappresentano comunque un rischio.
Non è certo la prima volta che gli smartphone Samsung sono vittime di vulnerabilità zero-day. Già alla fine dello scorso anno, Project Zero aveva scoperto diverse falle di sicurezza inedite nei dispositivi Galaxy di fascia media. Queste vulnerabilità sono state sfruttate attivamente e hanno colpito solo i chip Exynos. La scorsa primavera, inoltre, milioni di smartphone Samsung sono stati vittime di una grave falla di sicurezza che ha permesso di prendere il controllo dei dispositivi da remoto attraverso un’app dannosa.
La patch di sicurezza di marzo 2023 risolve una delle falle
Google ha presumibilmente già risolto la falla CVE-2023-24033 nella patch di sicurezza di marzo 2023, ma non tutti i dispositivi interessati hanno ancora ricevuto l’aggiornamento. In attesa di una patch, Project Zero consiglia di disattivare per precauzione le chiamate Wi-Fi e VoLTE per eliminare il rischio di hacking.
“Fino a quando non saranno disponibili gli aggiornamenti di sicurezza, gli utenti che desiderano proteggersi dalle vulnerabilità di esecuzione di codice in banda base remota nei chip Exynos di Samsung possono disabilitare le chiamate Wi-Fi e VoLTE (Voice over LTE) nelle impostazioni del dispositivo”, ha dichiarato Tim Willis.
Tradizionalmente, i ricercatori di sicurezza aspettano che sia disponibile una patch prima di annunciare di aver trovato il bug, o che sia passato un po’ di tempo da quando l’hanno segnalato senza che ci sia una patch in vista. Ora gli hacker potrebbero cogliere l’occasione per penetrare negli smartphone prima che una patch venga distribuita ad alcuni dispositivi.