گوگل به دارندگان گوشی های سامسونگ و پیکسل درباره 18 سوء استفاده وحشتناک هشدار می دهد

گوگل به دارندگان برخی از گوشی‌های سامسونگ، ویوو و پیکسل هشدار می‌دهد که یک سری سوءاستفاده‌ها به بازیگران بد این امکان را می‌دهد تا دستگاه‌ها را به سادگی با دانستن شماره تلفن به خطر بیاندازند – و صاحبان دستگاه متوجه چیزی نمی‌شوند.

Project Zero، تیم داخلی گوگل متشکل از کارشناسان و تحلیلگران امنیت سایبری، در یک پست وبلاگی 18 سوء استفاده بالقوه مختلف در برخی از تلفن های همراه با استفاده از مودم های Exynos سامسونگ را تشریح کرد. این سوء استفاده‌ها آنقدر شدید هستند که باید به عنوان آسیب‌پذیری‌های روز صفر در نظر گرفته شوند (که نشان می‌دهد باید فوراً رفع شوند). با چهار مورد از این اکسپلویت ها، مهاجم باید فقط شماره تلفن مناسبی داشته باشد تا بتواند به داده های ورودی و خروجی مودم دستگاه مانند تماس های تلفنی و پیام های متنی دسترسی داشته باشد.

14 اکسپلویت دیگر کمتر نگران کننده هستند، زیرا به تلاش بیشتری برای افشای آسیب پذیری خود نیاز دارند – همانطور که TechCrunch اشاره کرد، مهاجمان نیاز به دسترسی به دستگاه به صورت محلی یا به سیستم های حامل سلولی دارند.

صاحبان دستگاه‌های آسیب‌دیده باید در اسرع وقت به‌روزرسانی‌های امنیتی آتی را نصب کنند، اگرچه این به سازندگان تلفن بستگی دارد که تصمیم بگیرند چه زمانی یک وصله نرم‌افزاری برای هر دستگاه منتشر شود. در همین حال، گوگل می‌گوید دارندگان دستگاه‌ها می‌توانند با خاموش کردن تماس Wi-Fi و Voice-over-LTE یا VoLTE در تنظیمات دستگاه خود، از هدف قرار گرفتن توسط این سوء استفاده‌ها جلوگیری کنند.

در این پست وبلاگ، گوگل لیستی از گوشی‌هایی که از مودم‌های اگزینوس استفاده می‌کنند را فهرست کرده است – ناخواسته اعتراف کرد که گوشی‌های پیکسل برتر آن سال‌ها از مودم‌های سامسونگ استفاده می‌کنند. این لیست همچنین شامل تعداد انگشت شماری از پوشیدنی ها و خودروهایی است که از مودم های خاصی استفاده می کنند.

• گوشی‌های سامسونگ، از جمله گوشی‌های سری برتر گلکسی S22، سری‌های میان رده M33، M13، M12، A71 و A53، و سری‌های مقرون به صرفه A33، A21، A13، A12 و A04.
• دستگاه‌های تلفن همراه Vivo، از جمله دستگاه‌های سری S16، S15، S6، X70، X60 و X30.
• دستگاه‌های برتر Pixel 6 و Pixel 7 از Google (حداقل یکی از چهار آسیب‌پذیری شدید در به‌روزرسانی امنیتی مارس برطرف شد).
• هر ابزار پوشیدنی که از چیپست Exynos W920 استفاده می کند.
• هر خودرویی که از چیپست Exynos Auto T5123 استفاده می کند.

گوگل در اواخر سال 2022 و اوایل سال 2023 این اکتشافات اکسپلویت را به سازندگان گوشی های تحت تاثیر قرار داد، در این پست وبلاگ آمده است. اما تیم Project Zero تصمیم گرفته است که چهار آسیب‌پذیری دیگر را بدون احتیاط فاش نکند، زیرا این آسیب‌پذیری‌ها را از رویه معمول خود برای افشای تمام سوءاستفاده‌ها در یک دوره زمانی مشخص پس از گزارش آن‌ها به شرکت‌های آسیب‌دیده نقض می‌کند.

سامسونگ بلافاصله به درخواست برای اظهار نظر پاسخ نداد.