Ayer, Project Zero de Google detalló varias (de un total de dieciocho) vulnerabilidades de ejecución remota de código de Internet a banda base en los módems Exynos fabricados por Samsung. Estos módems se pueden encontrar en dispositivos como la serie Pixel 6, la serie Pixel 7, la serie Galaxy S22 y muchos más.
En pocas palabras, para aquellos de nosotros que no somos expertos en seguridad, la más crítica de las vulnerabilidades permitiría a un atacante experto crear un exploit y comprometer un teléfono afectado simplemente conociendo el número de teléfono de la víctima. Cuatro de las vulnerabilidades descubiertas son tan graves que Project Zero incluso ha hecho una excepción a la política con respecto a su proceso de divulgación. Aparentemente es tan malo.
Dispositivos que pueden verse afectados
- Dispositivos móviles Samsung, incluidos los de las series S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 y A04;
- Dispositivos móviles Vivo, incluidos los de las series S16, S15, S6, X70, X60 y X30;
- las series de dispositivos Pixel 6 y Pixel 7 de Google; Y
- todos los vehículos que utilizan el chipset Exynos Auto T5123.
Así que determinamos que había un problema. La noticia prometedora es que las personas que necesitan saber y comenzar a solucionar estos problemas son conscientes y las soluciones ya están en camino. Por ejemplo, el parche de seguridad de marzo para teléfonos Pixel contiene una solución para una de las vulnerabilidades. Mientras tanto, Project Zero de Google recomienda que evite usar WiFi o llamadas VoLTE (Voice-Over-LTE) yendo físicamente a la configuración de su dispositivo y apagándolos.
Hasta que las actualizaciones de seguridad estén disponibles, los usuarios que deseen protegerse contra las vulnerabilidades de ejecución remota de código de banda base en los conjuntos de chips Exynos de Samsung pueden desactivar las llamadas Wi-Fi y la voz sobre LTE (VoLTE) en la configuración de su dispositivo. Deshabilitar estas configuraciones eliminará el riesgo de explotar estas vulnerabilidades.
Se ha planteado la teoría de que estas vulnerabilidades son lo que impide que la línea Pixel 6 reciba el último parche de seguridad y la eliminación de funciones. Parece muy plausible en este punto.
Te mantendremos informado a medida que aprendamos más. Si esta noticia se aplica a usted, también le recomiendo que consulte la publicación de Project Zero sobre la situación siguiendo el enlace a continuación.
// Proyecto Cero
