Das Project Zero-Team von Google hat bei den Exynos-Modems, welche auf Pixel 6 und Pixel 7, Samsung-Geräten und Wearables verbaut sind, eine schwerwiegende Zero-Day-Schwachstelle entdeckt. Bis der Fix unterwegs sollen Nutzer zum Schutz VoLTE und Wi-Fi-Calls deaktivieren.
Schwachstelle bei Exynos-Modems auf Pixel 6, 6 Pro, 6a, 7 und 7 Pro
Das Project Zero Team hat bereits Ende 2022 und Anfang 2023 18 Schwachstellen in Exynos-Modems gemeldet. Vier davon CVE-2023-24033 und drei weitere Sicherheitslücken, denen noch CVE-IDs zugewiesen werden müssen, betreffen die Internet-to-Baseband-Remote-Code-Ausführung.
- Von Project Zero durchgeführte Tests bestätigen, dass diese vier Sicherheitslücken es einem Angreifer ermöglichen, ein Telefon auf Basisbandebene ohne Benutzerinteraktion aus der Ferne zu kompromittieren, und dass der Angreifer lediglich die Telefonnummer des Opfers kennen muss. Mit begrenzter zusätzlicher Forschung und Entwicklung glauben wir, dass erfahrene Angreifer in der Lage sein würden, schnell einen operativen Exploit zu erstellen, um betroffene Geräte unbemerkt und aus der Ferne zu kompromittieren
Die vierzehn anderen verwandten Schwachstellen (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 und neun weitere Schwachstellen, denen noch CVE-IDs zugewiesen werden müssen) waren nicht so schwerwiegend, da sie entweder einen böswilligen Mobilfunknetzbetreiber oder einen Angreifer mit lokalem Zugriff auf das Gerät erfordern.
Ausnahme von unserer Richtlinie, Offenlegung der Schwachstellen verschoben
- Aufgrund einer sehr seltenen Kombination aus Zugriffsebene, die diese Schwachstellen bieten, und der Geschwindigkeit, mit der wir glauben, dass ein zuverlässiger operativer Exploit erstellt werden könnte, haben wir uns entschieden, eine Richtlinienausnahme zu machen, um die Offenlegung für die vier Schwachstellen zu verzögern. Angreifer könnten sonst mehr von der Veröffentlichung profitieren als die Nutzer.
Der normale Zeitraum für eine Veröffentlichung beträgt sonst 30 Tage nach Update-Verfügbarkeit.
Betroffene Geräte
- Mobilgeräte von Samsung, einschließlich der Serien S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 und A04;
- Mobilgeräte von Vivo, einschließlich der Serien S16, S15, S6, X70, X60 und X30;
- Die Geräteserien Pixel 6 und Pixel 7 von Google;
- alle Wearables, die den Exynos W920-Chipsatz verwenden;
- alle Fahrzeuge, die den Exynos Auto T5123 Chipsatz verwenden.
Das Sicherheitsupdate vom März, welches am Montag ausgerollt wurde, fixt die Schwachstelle (sofern es noch nicht vorhanden ist, manuell anstoßen). Die Pixel 6 Geräte erhalten das Update jedoch erst ab dem 20. März. Nutzern eines Pixel 6, Pixel 6 Pro und Pixel 6a wird angeraten, WiFi-Anrufe und VoLTE Anrufe in den Geräteeinstellungen zu deaktivieren. Dadurch ist ein Ausnutzen der Schwachstelle nicht mehr möglich.
Das Deaktivieren erfolgt über die Systemeinstellungen -> Netzwerk & Internet -> SIM-Karten -> VoLTE deaktivieren -> WLAN-Telefonie -> Deaktivieren.