谷歌发现,由于三星的Exynos调制解调器存在多个零日漏洞,数十台安卓设备可能在无需任何用户交互的情况下被入侵。受影响的设备包括智能手机,穿戴,甚至车辆.
作为TechCrunch的报道(在新窗口打开)在美国,谷歌的零项目安全分析师团队共发现了18个零日漏洞。其中四个严重到足以允许基于互联网的波段远程代码执行,这意味着攻击者只需要受害者的电话号码就可以破坏他们的手机——不需要用户交互。
零项目负责人蒂姆·威利斯在一份报告中解释道博客(在新窗口打开)“通过有限的额外研究和开发,我们相信熟练的攻击者将能够快速创建一个操作漏洞,以悄无声息地远程破坏受影响的设备。”
由于在Exynos调制解调器中发现了漏洞,数十台设备受到影响。谷歌提供了以下可能被泄露的产品列表:
谷歌自己的Pixel 6, Pixel 6 Pro, Pixel 6a,像素7,Pixel 7 Pro
三星手机S22、M33、M13、M12、A71、A53、A33、A21、A13、A12、A04系列
Vivo S16, S15, S6, X70, X60和X30系列的设备
任何使用Exynos W920芯片组的可穿戴设备
任何使用Exynos Auto T5123芯片组的车辆
“零计划”团队的安全研究员麦迪·斯通说,在推特上确认(在新窗口打开)三星被给予90天的时间来发布补丁,但一直没有。
由于受这些漏洞影响的设备范围如此之广,补丁时间表将有所不同。谷歌包含了Pixel设备的修复2023年3月安全更新(在新窗口打开)但它需要安装,一些Pixel型号仍在等待它的到来(Pixel 6, Pixel 6 Pro和6像素).
如果你拥有一台受影响的设备,并且不想等待安全补丁,谷歌建议你在设备设置中关闭Wi-Fi通话和VoLTE语音。检查你的设备是否有任何更新等待安装也是值得的。
至于“零计划”发现的另外14个零日漏洞,威利斯说,它们“没有那么严重,因为它们需要恶意移动网络运营商或具有本地访问设备权限的攻击者。”不过,三星仍需要尽快推出补丁来修复这些安全漏洞。