パッチが適用されていない Samsung チップセットの脆弱性により、Android ユーザーが RCE 攻撃にさらされる

サムスンのチップセットに新たに明らかになった一連の脆弱性により、各デバイスのベンダーがその欠陥に対応するパッチを公開するまで、数百万人の Android 携帯電話ユーザーが潜在的なリモート コード実行 (RCE) 攻撃にさらされることになります。

欠陥を発見したGoogleのProject Zeroの研究者らによると、それまでは、この脅威から身を守りたいユーザーにとっての最善の策は、デバイスのWi-Fi通話とVoice-over-LTEの設定をオフにすることだという。

研究者らは先週のブログ投稿で、Samsung、Vivo、Googleの複数の携帯電話モデルで使用されている同社のExynosチップセットに18件もの脆弱性があることをSamsungに報告したと述べた。影響を受けるデバイスには、Samsung Galaxy S22、M33、M13、M12、A71、A53、Vivo S16、S15、S6、X70、X60、X30、Google の Pixel 6 および Pixel 7 シリーズのデバイスが含まれます。

Android ユーザーが完全な侵害に直面

Samsung Exynos チップセットの 4 つの脆弱性は、攻撃者にユーザーの介入を必要とせず、被害者の電話番号だけを知っていれば、影響を受けるデバイスを完全に侵害する方法を与えると、Project Zero 脅威研究者の Tim Willis 氏は書いています。

「Project Zero によって実施されたテストでは、これら 2023 つの脆弱性 [CVE-24033-2023、CVE-26496-2023、CVE-26497-2023、および CVE-26498-XNUMX] により、攻撃者が ベースバンドレベルで電話機を遠隔から侵害する」とウィリスは言いました。 「追加の研究開発が限られているため、熟練した攻撃者は影響を受けるデバイスをサイレントかつリモートで侵害する運用上のエクスプロイトを迅速に作成できると考えています。」 

セキュリティ研究者は、Samsung Exynos チップセットの残りの 14 の脆弱性は、それほど重大ではないことを特定しました。

サムスンは電子メールで送付した声明の中で、一部のギャラクシー端末に影響を与える可能性のある脆弱性のうち6件を特定したと述べた。同社は、6つの欠陥は「深刻」ではないと説明し、 そのうちの 5 つのパッチをリリースしました 18 月のセキュリティ更新で。サムスンはXNUMX月にXNUMX番目の欠陥に対するパッチをリリースする予定だ。同社は、Googleが開示したXNUMX件の脆弱性すべてに対するパッチをリリースするかどうかについて情報を求めるDark Readingの要請に応じなかった。また、影響を受けるすべての Samsung Galaxy デバイスにアップデートが適用されるかどうか、またいつ適用されるかは不明です。

ウィリス氏は、影響を受けるGoogle Pixelデバイスは、同社の開示された欠陥（CVE-2023-24033）のXNUMXつに対する修正をすでに受けていると述べた。 2023年XNUMX月のセキュリティアップデート。 Googleは、残りの脆弱性に対するパッチがいつ提供されるかについての情報を求めるDark Readingの要請にすぐには応じなかった。 Vivo は Dark Reading の要求にもすぐには応じなかったので、脆弱性に対処するための同社の計画も不明のままです。

Android パッチ ギャップ問題

これまで、デバイス ベンダーは時間をかけて Android エコシステムの脆弱性に対処してきました。したがって、それが何らかの兆候である場合、Samsung チップセットの脆弱性の影響を受けるユーザーは、長い待ち時間を余儀なくされる可能性があります。 

11 月、プロジェクト ゼロの研究者らは、彼らが説明した内容について報告しました。 大きなパッチギャップ これは、Android デバイスのファームウェア パッチが利用可能になってから、デバイス ベンダーが実際にユーザーにパッチを利用できるようにするまでの遅延によって生じます。一例として、Project Zero の研究者は、ARM Mali GPU ドライバーで発見したいくつかの脆弱性を指摘しました。 Googleは昨年6月と7月にこの脆弱性をARMに報告し、その後ARMは7月と8月にこの脆弱性に対するパッチを発行した。しかし、3 か月以上後の 11 月、Google が影響を受けるデバイスの脆弱性をテストしたところ、研究者らはすべてのデバイスがまだ問題に対して脆弱であることを発見しました。

「簡単なのは、ハードウェアの欠陥を新しいソフトウェアで修正することです」と Approov の CEO、Ted Miracco 氏は言います。 「より難しいのは、メーカーにアップデートをエンド ユーザーにプッシュしてもらい、エンド ユーザーにデバイスをアップデートしてもらうことです」と彼は言います。残念ながら、チップセットのユーザーの多くはデバイスにパッチをすぐに当てられない可能性があり、ユーザーは脆弱性があるかどうかほとんど気づいていない可能性がある、と同氏は言う。

Project Zero が Samsung チップセットで発見したような脆弱性は、Android エコシステムだけでなく、iOS エコシステムや、高度なハードウェアとソフトウェアを含む複雑なサプライ チェーンにも存在すると Miracco 氏は続けます。課題は、欠陥の検出からすべてのデバイスへのソリューションの展開までの時間を短縮することです。 

「モバイル デバイスの多くのメーカーではアップデートがほとんど行われない可能性があるため、これは Android エコシステムが大きな注目を集める必要がある分野です」と彼は言います。企業は、私物デバイスを職場に持ち込む (BYOD) ユーザーに対し、アップデートを迅速に展開する実績を持つ承認されたサプライヤーのデバイスを使用するよう義務付ける可能性があると Miracco 氏は付け加えています。

Zimperium の製品戦略担当バイスプレジデントである Krishna Vishnubhotla 氏は、このような脆弱性は企業がモバイル セキュリティ戦略を評価する必要性を浮き彫りにしていると述べています。 「企業が従業員に安全を確保する方法や企業アクセスに新たな要件があるかどうかを指導することは理にかなっています」と彼は指摘します。

たくさんのo純正機器メーカー（OEM) Android 分野での断片化が原因で、発見されたすべての脆弱性に対してパッチが利用できるようになるのは数か月後になる可能性があります。 「このため、企業はゼロデイ脅威に対処でき、無線で更新できるセキュリティに投資することが重要です」とヴィシュヌボッタ氏は付け加えた。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/attacks-breaches/samsung-chipset-vulnerabilities-android-users-rce-attacks