0 günlük güvenlik açıkları arayışında uzmanlaşmış Google Project Zero ekibinden uzmanlar, mobil ve giyilebilir cihazlarda ve otomobillerde yaygın olarak kullanılan Samsung Exynos yonga setlerinde 18 sıfır gün güvenlik açığı tespit etti. Onlara göre, saldırganlar savunmasız bir telefonu herhangi bir kullanıcı etkileşimi olmadan ana bant düzeyinde uzaktan tehlikeye atabilirler.

Temel olarak, araştırmacılar 2022’nin sonundan 2023’ün başına kadar olan dönemde üreticiyi bilgilendiren Exynos modeminde sorunlar buldular. On sekiz hatadan dördü, temel bant düzeyinde rastgele kodun uzaktan yürütülmesine izin verdikleri için en ciddi olarak belirlenmiştir.

Bu güvenlik açıkları tarafından sağlanan erişim seviyesinin nadir kombinasyonu ve onlar için çalışan bir istismarın oluşturulabileceği hız nedeniyle, araştırmacıların bir istisna yapmaya karar verdikleri ve bu böceklerle ilgili bilgilerin ayrıntılı olarak açıklanmasını şimdilik erteledikleri belirtilmektedir.

Uzmanlar, bu RCE güvenlik açıklarını (CVE-2023-24033 ve henüz CVE tanımlayıcıları almamış diğer üç güvenlik açığını), kullanıcı etkileşimi olmadan güvenlik açığından etkilenen cihazların güvenliğini uzaktan aşmanıza olanak tanıyan İnternet’ten ana bant hataları olarak tanımlamaktadır. Aslında, bir saldırıyı gerçekleştirmek için gereken tek bilgi kurbanın telefon numarasıdır.

Samsung, CVE-2023-24033 sorun açıklamasında “Ana bant yazılımı, SDP’deki kabul türü öznitelik biçimi türlerini düzgün bir şekilde doğrulamaz, bu da Samsung’un ana bant modeminde hizmet reddine veya kod yürütülmesine neden olabilir” dedi.

Kalan 14 güvenlik açığı (CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 ve CVE Kimliklerini almayı bekleyen diğer dokuz hata) o kadar kritik değildir: bunların istismarı yerel erişim veya kötü amaçlı bir mobil ağ operatörü gerektirir.

Samsung, etkilenen cihazların listesinin aşağıdaki cihazları içerdiğini (ve muhtemelen durumun bunlarla sınırlı olmadığını) bildirmektedir:

• Samsung mobil cihazlar S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 ve A04 serisi;
• Vivo mobil cihazlar S16, S15, S6, X70, X60 ve X30 serisi;
• Google’ın Pixel 6 ve Pixel 7 serisi cihazları;
• Exynos W920 yonga setini kullanan giyilebilir cihazlar;
• Exynos Auto T5123 yonga setini kullanan herhangi bir araba.

Samsung, satıcılara etkilenen yonga setlerindeki güvenlik açıklarını ele alan gerekli yamaları zaten sağlamış olsa da, bu düzeltmeler henüz genel kullanıma sunulmamıştır ve risk altındaki tüm kullanıcılar tarafından uygulanamaz.

Aslında, düzeltmelerin piyasaya sürülmesinin zamanlaması her bir üretici için farklı olacaktır. Örneğin, Google, Mart 2023’te yayınlanan güncellemelerle Pixel cihazlardaki CVE-2023-24033 güvenlik açığını zaten düzeltmiştir.

Düzeltmeler mevcut olana kadar Samsung, kullanıcıların “Wi-Fi ve VoLTE üzerinden aramaları kapatmalarını” ve ardından cihazları mümkün olan en kısa sürede güncellemelerini önerir.