Samsung
O Google está pedindo aos proprietários de determinados telefones Android que tomem medidas urgentes para se proteger contra vulnerabilidades críticas que permitem que hackers habilidosos comprometam secretamente seus dispositivos fazendo uma chamada especialmente criada para seu número. No entanto, não está claro se todas as medidas solicitadas são possíveis e, mesmo que sejam, as medidas neutralizarão os dispositivos com a maioria dos recursos de chamada de voz.
A vulnerabilidade afeta dispositivos Android que usam o chipset Exynos da divisão de semicondutores da Samsung. Os dispositivos vulneráveis incluem Pixel 6 e 7, versões internacionais do Samsung Galaxy S22, vários telefones Samsung de gama média, Galaxy Watch 4 e 5 e carros com o chip Exynos Auto T5123. Esses dispositivos são vulneráveis APENAS quando equipados com o chipset Exynos, que contém a banda base que processa sinais para chamadas de voz. A versão americana do Galaxy S22 roda em um chip Qualcomm Snapdragon.
Um bug rastreado como CVE-2023-24033 e três outros que ainda não receberam uma designação CVE permitem que hackers executem códigos maliciosos, de acordo com a equipe de vulnerabilidades do Project Zero do Google. relatado na quinta feira. Erros de execução de código em banda base podem ser particularmente críticos, pois os chips são construídos com privilégios de sistema de nível raiz para garantir que as chamadas de voz funcionem de maneira confiável.
“Testes conduzidos pelo Project Zero confirmam que essas quatro vulnerabilidades permitem que um invasor comprometa remotamente um telefone de nível de banda base sem interação do usuário, e tudo o que o invasor precisa saber é o número de telefone da vítima”, escreveu Tim Willis, do Project Zero. “Com pesquisa e desenvolvimento adicionais limitados, acreditamos que invasores experientes seriam capazes de criar rapidamente uma exploração operacional para comprometer silenciosa e remotamente os dispositivos afetados”.
No início deste mês, o Google lançou um patch para modelos de Pixel vulneráveis. A Samsung lançou uma atualização que corrige o CVE-2023-24033, mas ainda não foi entregue aos usuários finais. Não há indicação de que a Samsung tenha lançado patches para as outras três vulnerabilidades críticas. Até que os dispositivos vulneráveis sejam corrigidos, eles permanecem vulneráveis a ataques que permitem o acesso no nível mais profundo possível.
A ameaça levou Willis a colocar este conselho no topo da postagem de quinta-feira:
Até que as atualizações de segurança estejam disponíveis, os usuários que desejam se proteger das vulnerabilidades de execução remota de código de banda base nos chipsets Exynos da Samsung podem desativar as chamadas Wi-Fi e Voice-over-LTE (VoLTE) nas configurações de seus dispositivos. Desativar essas configurações elimina o risco de exploração dessas vulnerabilidades.
O problema é que não está totalmente claro se é possível desativar o VoLTE, pelo menos em muitos modelos. Uma captura de tela de um usuário S22 postado no Reddit o ano passado mostra que a opção para desativar o VoLTE está esmaecida. Embora o S22 desse usuário execute um chip Snapdragon, a experiência para usuários de telefones baseados em Exynos provavelmente será a mesma.
E mesmo que seja possível desativar o VoLTE, juntamente com o desligamento do Wi-Fi, ele pode transformar os telefones em pouco mais do que pequenos tablets com Android. O VoLTE foi amplamente implantado há alguns anos e, desde então, a maioria das operadoras na América do Norte parou de oferecer suporte às frequências 3G e 2G legadas.
Funcionários da Samsung disseram em um e-mail que a empresa lançou patches de segurança para cinco das seis vulnerabilidades que “poderiam afetar dispositivos Galaxy selecionados” em março e corrigirá o sexto bug no próximo mês. O e-mail não respondeu a perguntas sobre se algum patch está disponível para usuários finais ou se é possível desativar o VoLTE.
Um representante do Google, por sua vez, se recusou a fornecer as etapas específicas para implementar o conselho do resumo do Project Zero. Os leitores que encontrarem uma maneira são convidados a explicar o processo (com capturas de tela, se possível) na seção de comentários.
Os detalhes técnicos foram omitidos na postagem de quinta-feira devido à gravidade das falhas e facilidade de exploração por hackers experientes. No dele Página de atualização de segurança do produtoA Samsung descreveu o CVE-2023-24033 como “corrupção de memória durante o processamento do atributo SDP Accept-Type”.
“O software de banda base não valida adequadamente os tipos de formato do atributo Accept-Type especificado pelo SDP, o que pode levar a uma negação de serviço ou execução de código no modem de banda base Samsung”, acrescentou o consultor. “Os usuários podem desativar as chamadas Wi-Fi e VoLTE para mitigar o impacto dessa vulnerabilidade”.
Abreviação de Service Discovery Protocol Layer, o SDP permite a descoberta de serviços disponíveis de outros dispositivos por Bluetooth. Além da detecção, o SDP permite que os aplicativos determinem as características técnicas desses serviços. O SDP usa um modelo de solicitação/resposta para os dispositivos se comunicarem.
A ameaça é séria, mas, novamente, ela se aplica apenas a pessoas que usam uma versão Exynos de qualquer um dos modelos afetados. E mais uma vez, o Google lançou um patch para usuários do Pixel no início deste mês.
Até que a Samsung ou o Google digam mais, os usuários de dispositivos que permanecem vulneráveis devem (1) instalar todas as atualizações de segurança disponíveis, prestando muita atenção aos patches CVE-2023-24033, (2) desabilitar as chamadas WiFi e (3) explorar o menu Configurações do seu modelo específico para ver se é possível desligar o VoLTE. Este post será atualizado se alguma das empresas responder com informações mais úteis.
