谷歌敦促某些 Android 手机的所有者采取紧急行动,以保护自己免受严重漏洞的侵害,这些漏洞使熟练的黑客能够通过特制呼叫他们的号码来暗中破坏他们的设备。然而,目前尚不清楚所敦促的所有行动是否都可行,即使可行,这些措施也会使设备失去大多数语音通话功能。
该漏洞影响使用三星半导体部门生产的 Exynos 调制解调器 5123、Exynos 调制解调器 5300、Exynos 980、Exynos 1080 和 Exynos Auto T5123 芯片组的安卓设备。易受攻击的设备包括 Pixel 6 和 7、国际版三星 Galaxy S22、各种中档三星手机、Galaxy Watch 4 和 5,以及配备 Exynos Auto T5123 芯片的汽车。这些设备只有在运行 Exynos 芯片组时才会受到攻击,该芯片组包括处理语音呼叫信号的基带。美版 Galaxy S22 搭载高通骁龙芯片。
谷歌的零项目漏洞团队周四报告说,一个被追踪为 CVE-2023-24033 的漏洞和其他三个尚未获得 CVE 称号的漏洞使黑客有可能执行恶意代码。基带中的代码执行错误可能尤为严重,因为芯片被赋予了根级系统特权,以确保语音通话可靠地工作。
“零计划进行的测试证实,这四个漏洞允许攻击者在基带级别远程破坏手机,无需用户交互,只需要攻击者知道受害者的电话号码,”零计划的蒂姆威利斯写道。“通过有限的额外研究和开发,我们相信熟练的攻击者将能够快速创建一个操作漏洞,以悄无声息地远程破坏受影响的设备。”
本月早些时候,谷歌发布了针对易受攻击的 Pixel 7 机型的补丁,但Pixel 6 机型的修复程序尚未交付给许多(如果不是全部的话)用户(零项目帖子错误地另有说明)。三星发布了补丁 CVE-2023-24033 的更新,但尚未交付给最终用户。没有迹象表明三星已经为其他三个关键漏洞发布了补丁。在易受攻击的设备被修补之前,它们仍然容易受到攻击,从而提供尽可能深层次的访问权限。
