Samsungのチップを経由してリモートでデバイスにアクセスできるバグが発見される
2023年3月16日(木)にGoogleのゼロデイ攻撃対策チームであるProject Zeroが、スマートフォンやスマートウォッチなどで使用されるSamsungのチップセット「Exynos」の一部のモデルにリモートでコードが実行可能な脆弱(ぜいじゃく)性があることを発見しました。
Project Zero: Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems
https://googleprojectzero.blogspot.com/2023/03/multiple-internet-to-baseband-remote-rce.html
Product Security Update | Support | Samsung Semiconductor Global
https://semiconductor.samsung.com/support/quality-support/product-security-updates/
Google warns users to take action to protect against remotely exploitable flaws in popular Android phones | TechCrunch
https://techcrunch.com/2023/03/16/google-warning-samsung-chips-flaws-android/
Google finds 18 zero-day vulnerabilities in Samsung Exynos chipsets
https://www.bleepingcomputer.com/news/security/google-finds-18-zero-day-vulnerabilities-in-samsung-exynos-chipsets/
GoogleのProject Zeroの責任者であるティム・ウィリス氏は「我々のセキュリティ研究者が、デバイスをネットワークを介してリモートで危険にさらす可能性のある深刻な欠陥4つを含む、合計18個のゼロデイ脆弱性を発見しました」と報告しました。
What happens when you get @natashenka, @ifsecure, @_fel1x, @i41nbeer and @tehjh working collaboratively on a new attack surface for the team?
— Tim Willis (@itswillis) March 16, 2023
This: https://t.co/u6s6p8eNTr
The blogpost also includes actions that users can take to protect themselves while waiting for patches.
CVE-2023-24033など4つの重大な脆弱性はインターネットからベースバンドへのリモートでの任意コード実行バグを利用することで、攻撃者がユーザーの操作なしでデバイスをリモートかつ秘密裏に侵害できるとされています。
ティムズ氏は「我々が実施したテストでは、これら4つの脆弱性により、攻撃者は対象の電話番号を知っているだけで、対象のデバイスをリモートで侵害することができます」と述べています。
その他14個の脆弱性は対象のデバイスへの直接的なアクセス、もしくはメーカーのシステムへの不正アクセスが必要なため、深刻度は低いとされています。
Samsungが発表した影響を受けるチップセットは「Exynos 850」「Exynos 980」「Exynos 1080」「Exynos 1280」「Exynos 2200」「Exynos Modem 5123」「Exynos Modem 5300」「Exynos Auto T5123」「Exynos W920」です。
これらのチップセットを搭載した、影響を受ける可能性のあるデバイスには、Galaxy S22やGalaxy A33、Galaxy M13などの「Galaxy」シリーズのスマートフォン12モデルのほか、Vivo S16などの一部のVivo製品、Pixel 7やPixel 6のデバイスなどが含まれています。
Samsungはこれらのチップセットを提供するメーカーに対し、脆弱性に対処するセキュリティ更新プログラムを提供しており、各メーカーで順次セキュリティ更新プログラムが適用される見込みです。Google Pixelの脆弱性に関するCVE-2023-24033に対しては2023年3月13日にGoogleがセキュリティパッチを適用したことを報告しています。
Project Zeroは報告書の中で「セキュリティパッチが利用可能になるまで、ユーザーはWi-Fi通信とVoLTEを無効にすることで、Exynosチップセットを標的とする攻撃を阻止することが可能です」と提言しています。さらにウィリス氏は「これまで通り、ユーザーは定期的なデバイスの更新を行い、セキュリティの脆弱性を修正するパッチを適用することをお勧めします」と述べています。
WHOA: own a recent Samsung or Vivo phone?@Google's Project Zero found serious baseband vulnerabilities.
— John Scott-Railton (@jsrailton) March 16, 2023
While awaiting fixes, disable Wi-Fi calling & VoLTE.
+ do your updates! 1/
By @natashenka @ifsecure @_fel1x @i41nbeer & @tehjhhttps://t.co/gyc6WpWAf5 pic.twitter.com/IzRexxdL1O
・関連記事
ロシアのハッカーに悪用されていたOutlookのゼロデイ脆弱性をMicrosoftが修正 - GIGAZINE
約10年前のiPhone 5sなどが対象となるiOS12.5.7の緊急セキュリティアップデートをAppleがリリース - GIGAZINE
iPhoneやMacの写真・通話履歴・メッセージなどにアクセス可能となるバグが見つかる - GIGAZINE
MicrosoftやAvastなどの人気アンチウイルスソフトがPCのデータを完全破壊してしまう脆弱性「Aikido(合気道)」が見つかる - GIGAZINE
北朝鮮のサイバー犯罪グループ「APT37」がInternet Explorerのゼロデイ脆弱性を突く攻撃を行っていたと判明 - GIGAZINE
・関連コンテンツ
in セキュリティ, Posted by log1r_ut
You can read the machine translated English article A bug is discovered that allows you to r….