簡單來說: 在其零項目安全分析師團隊報告三星生產的 Exynos 調製解調器存在 18 個零日漏洞後,谷歌已向某些 Android 手機、可穿戴設備和車輛的用戶發出警告。
谷歌零項目負責人蒂姆威利斯 寫了 18 個漏洞中最嚴重的 4 個(所有漏洞均在 2022 年底和 2023 年報告)允許攻擊者在沒有用戶交互的情況下在基帶級別遠程破壞手機。 破壞易受攻擊的設備只需要攻擊者知道目標的電話號碼。
利用其中一個漏洞的黑客將獲得對進出設備的所有數據的完全訪問權限,包括通話、文本和蜂窩數據。 Willis 寫道,熟練的攻擊者可以快速創建操作漏洞,以悄無聲息地遠程破壞受影響的設備。
其餘 14 個漏洞並不那麼嚴重,因為它們需要惡意移動網絡運營商或具有設備本地訪問權限的攻擊者。
像素所有者不必擔心
谷歌列出了一些可能受漏洞影響的配備 Exynos 芯片組的設備:
- 三星移動設備,包括 S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列
- 來自 vivo 的移動設備,包括 S16、S15、S6、X70、X60 和 X30 系列的移動設備
- Google 的 Pixel 6 和 Pixel 7 系列設備
- 任何使用 Exynos W920 芯片組的可穿戴設備(包括 Galaxy Watch 4 和 5)
- 任何使用 Exynos Auto T5123 芯片組的車輛。
對於受影響的 Pixel 設備的所有者來說,好消息是它們已經在 2023 年 3 月的安全更新中進行了修補。 零項目研究員 Maddie Stone 在推特上表示,儘管有 90 天的時間來修補漏洞,但三星仍然沒有這樣做。
——麥迪·斯通 (@maddiestone) 2023 年 3 月 16 日
對於尚未打補丁的手機用戶,谷歌建議在設備設置中關閉 Wi-Fi 通話和 LTE 語音 (VoLTE),以消除這些漏洞的利用風險。