Подразделение корпорации Google по выявлению уязвимостей нулевого дня Project Zero сообщило об обнаружении 18 0-day ошибок в чипсетах Samsung Exynos, которые применяются во множестве популярных моделей смартфонов, в носимых устройствах и в транспортных средствах.
О соответствующих ошибках в процессорах Exynos было заявлено в период с декабря 2022 года по начало 2023 года. Некоторые из этих уязвимостей до сих пор не устранены, начиная с декабря 2022 года. Как отметил Тим Уилсон, руководитель Project Zero, единственными данными, которые требуются злоумышленникам для проведения успешных кибератак в этом случае, является телефонный номер жертвы.
Более того, как отмечают эксперты по информационной безопасности, с минимальными дополнительными усилиями профессиональные киберпреступники способны с лёгкостью создать эксплойт, который может дистанционно компрометировать уязвимое устройство, не привлекая никакого внимания со стороны пользователей.
Четыре из восемнадцати уязвимостей определяются в качестве «критических», с помощью которых злоумышленники имеют возможности дистанционно выполнять код на целевом устройстве. Ещё 14 уязвимостей в качестве критических не рассматриваются, но всё равно представляют определённые риски для пользователей. Для успешного использования этих уязвимостей требуется получение локального доступа или помощь неблагонадёжных операторов мобильной связи.
В корпорации Google отмечают, что соответствующие процессоры Samsung Exynos установлены во множестве моделей телефонов южнокорейского производителя, в мобильных устройствах Vivo, в ряде устройств Google Pixel, в носимых устройствах на чипсете Exynos W920 и в транспортных средствах, которые используют чипсет Exynos Auto T5123.
Несмотря на то, что корпорация Samsung уже направила своим поставщикам необходимые исправления, эти обновления не являются общедоступными, поэтому их не могут применить все затронутые выявленными уязвимостями нулевого дня пользователи.
