Google откри уязвимости “с висока степен на опасност” в много смартфони
Изследователското звено за сигурност на Гугъл сигнализира за набор от уязвимости, открити в някои чипове на Samsung, вградени в десетки модели с Android, носими устройства и транспортни средства. То предизвестява, представено от TechCrunch, че минусите могат скоро да бъдат открити и употребявани от зловредни играчи. В обява в блога си ръководителят на звеното за сигурност на Гугъл - Project Zero, Тим Уилис изяснява, че неговият екип е разкрил и докладвал за 18 уязвимости от вида " Zero-day " в модемите Exynos, създадени от Samsung през последните няколко месеца. В това число четири уязвимости с най-висока степен на заплаха, които могат да компрометират засегнатите устройства " тихо и отдалечено " през клетъчната мрежа. " Тестовете, извършени от Project Zero, удостоверяват, че тези четири уязвимости разрешават на нападателя да компрометира телефона от разстояние без взаимоотношение с потребителя. За задачата се изисква само той да знае телефонния номер на жертвата ", безапелационен е Уилис.
Чрез тези уязвимости, всъщност минаващи през модемите Exynos, които преобразуват клетъчните сигнали в цифрови данни, атакуващият би могъл да получи съвсем безграничен достъп до данните, които постъпват и излизат от засегнатото устройство, в това число повиквания, текстови известия и клетъчни данни, без жертвата да е наясно с този факт.
Като цяло, рядко се случва Гугъл или някоя друга компания за проучвания в областта на сигурността да сигнализират за уязвимости с висока степен на заплаха, преди те да бъдат отстранени. В случая обаче от Гугъл считат, че това е безусловно належащо. Преди да създадат информацията публично налична, откривателите от Project Zero са дали 90 дни на Samsung, с цел да закърпи бъговете, само че софтуерният колос към момента не го е направил. Според Project Zero засегнатите устройства включват близо дузина модели на Samsung, устройства на Vivo и личните им телефони Pixel 6 и Pixel 7. Списъкът със наранени включва още носими устройства и транспортни средства, които разчитат на чиповете Exynos за връзка с клетъчната мрежа. Докато засегнатите производители пуснат софтуерни актуализации за своите клиенти, декларират от Гугъл, потребителите могат да изключат Wi-Fi връзките и Voice-over-LTE (VoLTE) в настройките на своите устройства, което ще " отстрани риска от употреба на тези уязвимости ".
Чрез тези уязвимости, всъщност минаващи през модемите Exynos, които преобразуват клетъчните сигнали в цифрови данни, атакуващият би могъл да получи съвсем безграничен достъп до данните, които постъпват и излизат от засегнатото устройство, в това число повиквания, текстови известия и клетъчни данни, без жертвата да е наясно с този факт.
Като цяло, рядко се случва Гугъл или някоя друга компания за проучвания в областта на сигурността да сигнализират за уязвимости с висока степен на заплаха, преди те да бъдат отстранени. В случая обаче от Гугъл считат, че това е безусловно належащо. Преди да създадат информацията публично налична, откривателите от Project Zero са дали 90 дни на Samsung, с цел да закърпи бъговете, само че софтуерният колос към момента не го е направил. Според Project Zero засегнатите устройства включват близо дузина модели на Samsung, устройства на Vivo и личните им телефони Pixel 6 и Pixel 7. Списъкът със наранени включва още носими устройства и транспортни средства, които разчитат на чиповете Exynos за връзка с клетъчната мрежа. Докато засегнатите производители пуснат софтуерни актуализации за своите клиенти, декларират от Гугъл, потребителите могат да изключат Wi-Fi връзките и Voice-over-LTE (VoLTE) в настройките на своите устройства, което ще " отстрани риска от употреба на тези уязвимости ".
Източник: profit.bg
КОМЕНТАРИ