谷歌警告一些三星,Vivo和Pixel手机的所有者,一系列漏洞利用可能会让不良行为者仅仅通过知道基本的电话号码来破坏设备 - 并且设备所有者不会注意到任何事情。
谷歌内部网络安全专家和分析师团队Project Zero在一篇博客文章中描述了18种不同的潜在漏洞,可用于入侵使用三星Exynos调制解调器的特定手机。这些漏洞非常严重,应将其视为零日漏洞(表明应立即修复)。通过其中四个漏洞,攻击者只需拥有正确的电话号码即可访问流入和流出设备调制解调器的数据,例如电话和短信。
其他14个漏洞则不那么令人担忧,因为它们需要更多的努力来暴露其漏洞 - 正如TechCrunch指出的那样,攻击者需要在本地访问设备或手机运营商的系统。
三星承认存在漏洞,并表示已为可能受影响的设备发布了安全更新,建议用户更新到最新软件以保持保护。
“在确定6个漏洞可能会影响选定的Galaxy设备(其中没有一个是'严重'的)之后,三星在3月份发布了其中5个安全补丁,”三星发给CNET的一份声明中写道。“另一个安全补丁将于4月发布,以解决剩余的漏洞。
受影响设备的所有者应尽快安装即将推出的安全更新,尽管由手机制造商决定何时为每个设备发布软件补丁。与此同时,谷歌表示,设备所有者可以通过在设备设置中关闭Wi-Fi通话和Voice-over-LTE或VoLTE来避免成为这些漏洞的目标。
可信来源:
- https://techcrunch.com/2023/03/16/google-warning-samsung-chips-flaws-android/
- https://googleprojectzero.blogspot.com/2023/03/multiple-internet-to-baseband-remote-rce.html
