Exynos: Google findet schwerwiegende Zero Days in Samsung-Chips

Die betroffenen Geräte lassen sich über das Internet hacken, darunter Smartphones von Samsung, Google und Vivo sowie Wearables und Autos.

Artikel veröffentlicht am ,
Eines der betroffenen Pixel-Geräte von Google
Eines der betroffenen Pixel-Geräte von Google (Bild: Johnny_px/Pixabay)

Googles Project Zero hat 18 Zero Days in Samsungs Exynos-Modems entdeckt. Die betroffenen Chips stecken in etlichen Smartphones von Samsung, Google und anderen Herstellern, aber auch in Wearables und Autos. Für viele Geräte gibt es noch keine Patches.

Bei den vier schwerwiegendsten Sicherheitslücken (CVE-2023-24033, drei weitere haben noch keine CVE-Nummer) handelt es sich den Angaben zufolge um eine "Internet-to-Baseband Remote Code Execution" (RCE). Damit soll es möglich sein, die betroffenen Geräte über das Internet anzugreifen, ohne das eine Interaktion mit den Nutzern notwendig ist. Einzige Bedingung für das Ausnutzen der Sicherheitslücke ist das Wissen um die mit dem betroffenen Gerät verknüpfte Telefonnummer.

Die restlichen 14 Sicherheitslücken (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076, die übrigen CVE-Nummern stehen noch aus) seien weniger schwerwiegend und benötigten für die Angriffe entweder einen böswilligen Mobilfunknetzbetreiber oder Angreifer mit einem lokalen Zugriff auf das Gerät, erklärte Project Zero in einem Blogeintrag.

Google listet folgende Geräte als wahrscheinlich von den Sicherheitslücken betroffen auf:

  • Google: alle Geräte der Serien Pixel 6 und 7
  • Samsung: Geräte der Serien S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 und A04
  • Vivo: Geräte der Serien S16, S15, S6, X70, X60 und X30
  • Fahrzeuge, die den Exynos-Auto-T5123-Chipsatz verwenden

Trotz 90-Tages-Frist keine Veröffentlichung

"Wir gehen davon aus, dass die Zeitpläne für die Patches je nach Hersteller variieren werden (betroffene Pixel-Geräte haben zum Beispiel bereits einen Fix für CVE-2023-24033 im Sicherheitsupdate vom März 2023 erhalten)", erklärte Googles Project Zero. Nutzer, die noch keine Sicherheitsupdates erhalten haben, können ihre betroffenen Geräte demnach schützen, indem sie Wi-Fi-Anrufe und Voice-over-LTE (VoLTE) in ihren Geräteeinstellungen deaktivieren.

Üblicherweise gibt Google den Herstellern 90 Tage Zeit, um gemeldete Sicherheitslücken zu patchen, danach veröffentlicht das Unternehmen die Lücken – auch wenn sie noch nicht gefixt wurden. Im aktuellen Fall der vier besonders schwerwiegenden Sicherheitslücken sieht das Unternehmen jedoch davon ab, da sie einen besonders weitreichenden Zugriff ermöglichen würden und das Schreiben eines Exploits in relativ kurzer Zeit möglich sei.

Vier weniger schwerwiegende Sicherheitslücken, die bereits die 90 Tage überschritten haben, veröffentlichte das Unternehmen wie gewohnt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
KI im Programmierertest
Kann GPT-4 wirklich Code schreiben?

GPT-4 kann gut einfachen Code schreiben. Meine Tests mit schwierigeren Pfadfindungs- und Kollisionsalgorithmen hat es nicht bestanden. Und statt das einzugestehen, hat es lieber geraten.
Ein Erfahrungsbericht von Tyler Glaiel

KI im Programmierertest: Kann GPT-4 wirklich Code schreiben?
Artikel
  1. Nachfolger von CS GO: Counter-Strike 2 ist geleakt
    Nachfolger von CS GO
    Counter-Strike 2 ist geleakt

    Eigentlich steht CS 2 bisher nur ausgewählten Personen zur Verfügung. Eine davon hat die Spieldateien aber offenbar ins Internet hochgeladen.

  2. Samsung-Tablet bei Amazon: bis zu 150 Euro Rabatt sichern
     
    Samsung-Tablet bei Amazon: bis zu 150 Euro Rabatt sichern

    Verschiedene Samsung-Tablets sind bei Amazon derzeit reduziert erhältlich. Bis zu 150 Euro Preisnachlass sind aktuell möglich.
    Ausgewählte Angebote des E-Commerce-Teams

  3. Massenentlassungen: Accenture streicht 19.000 Stellen
    Massenentlassungen
    Accenture streicht 19.000 Stellen

    Das Beratungsunternehmen Accenture lässt sich seine Sparmaßnahmen rund 1,5 Milliarden US-Dollar kosten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Cyberport Jubiläums-Deals • MindStar: Gigabyte RTX 4080 OC 1.229€ • Nur noch heute: 38GB Allnet-Flat 12,99€/M. • NBB Black Weeks • Powercolor RX 7900 XTX 1.099€ • Crucial SSD 1TB/2TB (PS5) bis -48% • Amazon Smart TVs ab 189€ • Nintendo Switch + Spiel + Goodie 288€ • PS5 + RE4 569€ [Werbung]
    •  /