I ricercatori del team Project Zero di Google hanno scoperto e segnalato 18 vulnerabilità zero-day nei chipset Exynos di Samsung, largamente utilizzati in dispositivi mobili, indossabili e in alcuni modelli di automobili connesse.
Alcune di queste potrebbero essere sfruttate da remoto per compromettere completamente un telefono senza richiedere alcuna interazione da parte dell’utente.
Le condizioni per lo sfruttamento di queste quattro vulnerabilità si verificherebbero durante le chiamate effettuate via Internet, ovvero via Wi-Fi e Voice-over-LTE.
In particolare, a rischio di compromissione risultano essere numerosi dispositivi Android, tra cui un’ampia gamma di smartphone Samsung Galaxy, Google Pixel e Vivo, dispositivi indossabili che utilizzano il chipset Exynos W920 e gli autoveicoli dotati del chipset Exynos Auto T5123.
Indice degli argomenti
Dettagli delle vulnerabilità nei chipset Exynos di Samsung
Le vulnerabilità di tipo RCE (Remote Code Execution) dei chipset Exynos sono state segnalate dai ricercatori tra la fine del 2022 e l’inizio del 2023. Quattro di queste (una tracciata come CVE-2023-24033 e le altre tre ancora in attesa di un CVE-ID) sono state classificate come gravi in quanto potrebbero consentire l’esecuzione di codice arbitrario da remoto, senza alcuna interazione da parte della vittima.
Secondo quanto dichiarato da Tim Willis, responsabile di Google Project Zero, per compromettere un dispositivo è sufficiente che l’aggressore conosca soltanto il numero di telefono della vittima.
A quel punto, riesce ad ottenere un accesso diretto alle informazioni che entrano ed escono dal dispositivo preso di mira nell’attacco.
Inoltre, attaccanti più esperti, magari gruppi criminali state-sponsored, potrebbero creare un exploit in grado di compromettere da remoto i dispositivi vulnerabili senza attirare l’attenzione degli obiettivi, agendo così del tutto indisturbati.
In merito alle altre 14 vulnerabilità (CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 e altre nove in attesa di CVE-ID) identificate nei chipset Exynos di Samsung, i ricercatori del Project Zero di Google ritengono abbiano un indice di gravità più basso in quanto, per essere sfruttate, richiedono comunque la presenza di un insider della rete mobile oppure che l’eventuale attaccante abbia accesso locale al dispositivo target.
Per evitare, comunque, di fornire ulteriori informazioni tecniche utili a replicare gli attacchi simulati dai ricercatori di Google, non sono stati forniti ulteriori dettagli sulle vulnerabilità.
Elenco (non definitivo) dei dispositivi vulnerabili
Al momento è difficile stilare un elenco completo dei dispositivi esposti alle vulnerabilità descritte. Di sicuro, anche in base alle indicazioni sui chipset interessati fornite da Samsung, quelli esposti sono i seguenti:
- smartphone Samsung delle serie S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04;
- dispositivi mobili Vivo, compresi quelli delle serie S16, S15, S6, X70, X60 e X30;
- dispositivi della serie Pixel 6 e Pixel 7 di Google;
- dispositivi indossabili che utilizzano il chipset Exynos W920;
- autoveicoli che utilizzano il chipset Exynos Auto T5123.
Soluzioni di mitigazione del rischio
Subito dopo la segnalazione delle vulnerabilità nei chipset Exynos, Google è intervenuta rilasciando un aggiornamento per i suoi smartphone Pixel 6 e 7, includendoli nell’Android Security Bulletin di marzo 2023.
Tutti gli altri dispositivi vulnerabili dovrebbero ricevere un aggiornamento nei prossimi giorni, con tempistiche che potrebbero cambiare a seconda delle politiche di distribuzione dei singoli produttori.
In realtà, Samsung ha comunicato di aver già fornito ai vari produttori i necessari aggiornamenti di sicurezza che risolvono le vulnerabilità nei chipset interessati; tuttavia, le patch non sono pubbliche e non possono quindi essere applicate da tutti gli utenti interessati.
Fino ad allora, per eliminare o quantomeno ridurre il rischio di sfruttamento delle vulnerabilità, il consiglio è quello di disattivare le chiamate Wi-Fi e Voice over LTE (VoLTE) nelle impostazioni del dispositivo. Un workaround suggerito dai ricercatori del team Project Zero di Google e consigliato anche dalla stessa Samsung.
Chiaramente, sarà poi importante applicare gli aggiornamenti disponibili ai propri dispositivi non appena le patch saranno rese disponibili.
Ricordiamo, infatti, che la consapevolezza delle minacce cyber a cui siamo esposti insieme a una corretta politica di patching dei propri dispositivi sono alla base di una efficace cyber hygiene necessaria per mitigare i rischi.
