谷歌有限責任公司的零計劃網絡安全研究團隊在三星電子有限公司生產的移動和汽車芯片中發現了 18 個漏洞。
搜索巨頭 披露 星期四的漏洞。 據谷歌稱,包含安全漏洞的芯片可以在三星的 11 款 Galaxy 手機中找到。 這些芯片還為 Vivo Communication Technology Co. Ltd. 的部分手機以及谷歌自己的 Pixel 6 和 Pixel 7 智能手機系列提供動力。
Google 通常會分享有關其發現的漏洞的技術細節。 然而,該公司選擇推遲發布有關週四披露的 18 個漏洞中的四個漏洞的技術信息。 原因是它們有可能對用戶構成嚴重的網絡安全風險。
根據谷歌的說法,這四個安全漏洞允許黑客遠程破壞易受攻擊的手機,而無需用戶採取任何行動。 因此,即使用戶沒有點擊惡意鏈接或下載惡意軟件,設備也可能遭到破壞。 從理論上講,這使黑客更容易成功地進行網絡攻擊。
“這四個漏洞允許攻擊者在基帶級別遠程破壞手機,無需用戶交互,只需要攻擊者知道受害者的電話號碼,”谷歌零項目網絡安全研究團隊負責人 Tim Willis 詳細說明。 “通過有限的額外研究和開發,我們相信熟練的攻擊者將能夠快速創建一個操作漏洞,以悄無聲息地遠程破壞受影響的設備。”
三星詳細介紹了 安全諮詢 四個漏洞之一,CVE-2023-24033,是一個內存損壞漏洞。 這是一種軟件錯誤,它允許設備內存的某些部分及其包含的數據被覆蓋。 黑客可以利用此類漏洞用惡意代碼覆蓋設備的部分數據。
谷歌發現的其他 14 個漏洞被認為沒有那麼嚴重。 據該公司稱,只有當設備落入黑客手中或連接到“惡意移動網絡運營商”時,它們才會被利用。
三星已針對 14 個不太嚴重的漏洞中的五個發布了安全公告。 根據公告,五個漏洞中的三個是堆緩衝區溢出漏洞。 當過多的數據寫入設備內存的一部分並且過多的信息覆蓋了附近的內存塊時,就會出現此類缺陷。
據三星稱,這些漏洞影響了其 Exynos 系列移動處理器的多款芯片。 這些處理器採用片上系統設計,結合了中央處理器、顯卡和其他處理模塊。 此外,還有一個用於連接運營商網絡的內置調製解調器。
三星還銷售獨立的調製解調器芯片,第三方手機製造商可以將這些芯片嵌入到他們的設備中。 據該公司稱,其兩個 5G 調製解調器受到這些漏洞的影響。 三星還確定黑客可以瞄准其 Exynos Auto T5123 芯片,這是一種用於促進汽車 5G 網絡訪問的汽車處理器。
尚未為所有受漏洞影響的設備發布補丁。 在修復程序可用之前,用戶可以通過在其設備設置中關閉 Wi-Fi 通話和 LTE 語音來阻止漏洞。 谷歌今年早些時候為其 Pixel 設備打了補丁,預計三星將在未來為受影響的 Galaxy 設備發布安全更新。