O Project Zero, a equipa da Google que dá caça às falhas de segurança, descobriu e reportou 18 vulnerabilidades nos chipsets Exynos da Samsung utilizados em dispositivos móveis, wearables e até em automóveis. As falhas de segurança foram reportadas entre o final de 2022 e o início de 2023. Quatro das dezoito falhas foram identificadas como as mais graves, já que permitem a execução de código remoto através da Internet. A verdade é que os smartphones que utilizam este chipset estão em perigo até se instalarem as atualizações. Especialmente porque para o novo ataque Android só precisam do seu número de telefone!
Android: Novo ataque só precisa do seu número de telefone!
Estes bugs de execução de código remoto permitem aos atacantes comprometerem os dispositivos vulneráveis remotamente e sem qualquer interação do utilizador. Ou seja um verdadeiro perigo.
O pior de tudo é que a única informação necessária para que os ataques possam ter sucesso é o número de telefone da vítima, de acordo com Tim Willis, o responsável do Project Zero.
Para tornar as coisas ainda piores, com um mínimo de pesquisa adicional, os atacantes experientes podem facilmente criar uma aplicação capaz de comprometer remotamente os dispositivos vulneráveis sem despertar a atenção dos alvos.
As 14 falhas restantes (incluindo CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076, e nove outras que aguardam os CVE-IDs) não são tão críticas mas ainda assim representam um risco. A exploração bem sucedida requer acesso local ou um operador de rede móvel malicioso.
Com base na lista de chipsets afetados fornecida pela Samsung, a lista de dispositivos afetados inclui:
- Smartphones das gamas Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04;
- Smartphones das gamas Vivo, incluindo os das séries S16, S15, S6, X70, X60 e X30;
- Os smartphones Pixel 6 e Pixel 7 da Google;
- Qualquer wearable que utiliza o chipset Exynos W920
- Automóveis que utilizem o chipset Exynos Auto T5123.
Embora a Samsung já tenha fornecido actualizações de segurança para estas vulnerabilidades nos chipsets impactados a outros fornecedores, os patches não são públicos. Assim não podem ser aplicados por todos os utilizadores afetados.
O cronograma de cada fabricante para os seus dispositivos será diferente mas, por exemplo, a Google já endereçou o CVE-2023-24033 para dispositivos Pixel impactados nas suas actualizações de segurança de Março de 2023.
No entanto, até que os patchs estejam disponíveis, os utilizadores podem impedir as tentativas de ataque desativando as chamadas Wi-Fi e VoLTE (VoLTE). Assim já não está em perigo.
