Samsungのチップを経由してリモートでデバイスにアクセスできるバグが発見される

2023年3月16日(木)にGoogleのゼロデイ攻撃対策チームであるProject Zeroが、スマートフォンやスマートウォッチなどで使用されるSamsungのチップセット「Exynos」の一部のモデルにリモートでコードが実行可能な脆弱(ぜいじゃく)性があることを発見しました。

Project Zero: Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems
https://googleprojectzero.blogspot.com/2023/03/multiple-internet-to-baseband-remote-rce.html

Product Security Update | Support | Samsung Semiconductor Global
https://semiconductor.samsung.com/support/quality-support/product-security-updates/

Google warns users to take action to protect against remotely exploitable flaws in popular Android phones | TechCrunch
https://techcrunch.com/2023/03/16/google-warning-samsung-chips-flaws-android/

Google finds 18 zero-day vulnerabilities in Samsung Exynos chipsets
https://www.bleepingcomputer.com/news/security/google-finds-18-zero-day-vulnerabilities-in-samsung-exynos-chipsets/

GoogleのProject Zeroの責任者であるティム・ウィリス氏は「我々のセキュリティ研究者が、デバイスをネットワークを介してリモートで危険にさらす可能性のある深刻な欠陥4つを含む、合計18個のゼロデイ脆弱性を発見しました」と報告しました。

CVE-2023-24033など4つの重大な脆弱性はインターネットからベースバンドへのリモートでの任意コード実行バグを利用することで、攻撃者がユーザーの操作なしでデバイスをリモートかつ秘密裏に侵害できるとされています。

ティムズ氏は「我々が実施したテストでは、これら4つの脆弱性により、攻撃者は対象の電話番号を知っているだけで、対象のデバイスをリモートで侵害することができます」と述べています。

その他14個の脆弱性は対象のデバイスへの直接的なアクセス、もしくはメーカーのシステムへの不正アクセスが必要なため、深刻度は低いとされています。

Samsungが発表した影響を受けるチップセットは「Exynos 850」「Exynos 980」「Exynos 1080」「Exynos 1280」「Exynos 2200」「Exynos Modem 5123」「Exynos Modem 5300」「Exynos Auto T5123」「Exynos W920」です。

これらのチップセットを搭載した、影響を受ける可能性のあるデバイスには、Galaxy S22やGalaxy A33、Galaxy M13などの「Galaxy」シリーズのスマートフォン12モデルのほか、Vivo S16などの一部のVivo製品、Pixel 7やPixel 6のデバイスなどが含まれています。

Samsungはこれらのチップセットを提供するメーカーに対し、脆弱性に対処するセキュリティ更新プログラムを提供しており、各メーカーで順次セキュリティ更新プログラムが適用される見込みです。Google Pixelの脆弱性に関するCVE-2023-24033に対しては2023年3月13日にGoogleがセキュリティパッチを適用したことを報告しています。

Project Zeroは報告書の中で「セキュリティパッチが利用可能になるまで、ユーザーはWi-Fi通信とVoLTEを無効にすることで、Exynosチップセットを標的とする攻撃を阻止することが可能です」と提言しています。さらにウィリス氏は「これまで通り、ユーザーは定期的なデバイスの更新を行い、セキュリティの脆弱性を修正するパッチを適用することをお勧めします」と述べています。