El equipo de búsqueda de vulnerabilidades de Google conocido como Project Zero, ha descubierto y reportado un total de 18 vulnerabilidades de día cero en los conjuntos de chips Samsung Exynos, los cuales son utilizados en diversos dispositivos móviles, wearables y automóviles.
Se han reportado las fallas de seguridad del módem Exynos a finales del 2022 y principios del 2023. De los dieciocho días cero identificados, cuatro han sido catalogados como los más críticos, ya que permiten la ejecución remota de código desde Internet a la banda base.
-¿Tienes un dispositivo con Samsung Exynos? Google advierte de graves vulnerabilidades de seguridad
Estos errores de ejecución remota de código (RCE) desde Internet a banda base, como el CVE-2023-24033 y otros tres que aún están a la espera de un CVE-ID, otorgan a los atacantes la posibilidad de comprometer dispositivos vulnerables de manera remota, sin necesidad de interacción del usuario.
De acuerdo con un aviso de seguridad emitido por Samsung en relación a la vulnerabilidad CVE-2023-24033, se ha detectado que el software de la banda base no realiza una verificación adecuada de los tipos de formato del atributo de tipo de aceptación especificado por el SDP.
Esta situación podría derivar en una denegación de servicio o, incluso, en la ejecución de código en el módem de la banda base de Samsung. Este fallo podría afectar a dispositivos como el Galaxy S22, A53, Pixel y otros, así lo ha informado el equipo Project Zero de Google.
Para complicar aún más la situación, con una investigación adicional de bajo nivel, los atacantes experimentados podrían diseñar un exploit sin dificultad alguna, el cual les permitiría comprometer de forma remota dispositivos vulnerables sin llamar la atención de sus objetivos.
De acuerdo con la lista de conjuntos de chips afectados proporcionada por Samsung, diversos dispositivos se ven afectados por las vulnerabilidades encontradas, entre los cuales se encuentran:
- Dispositivos móviles de Samsung, incluyendo los modelos de las series S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 y A04.
- Dispositivos móviles de Vivo, incluyendo los modelos de las series S16, S15, S6, X70, X60 y X30.
- Las series de dispositivos Pixel 6 y Pixel 7 de Google.
- Cualquier dispositivo portátil que haga uso del chipset Exynos W920.
- Cualquier vehículo que haga uso del chipset Exynos Auto T5123.
-Solución temporal a este problema
Aunque Samsung ya ha proporcionado actualizaciones de seguridad para abordar las vulnerabilidades en los conjuntos de chips afectados a otros proveedores, estas no están disponibles públicamente y no todos los usuarios afectados pueden aplicarlas.
Cada fabricante tendrá un cronograma de parches diferente para sus dispositivos. Por ejemplo, Google ya ha solucionado CVE-2023-24033 para los dispositivos Pixel afectados en sus actualizaciones de seguridad de marzo de 2023.
Sin embargo, hasta que se dispongan de parches, los usuarios pueden frustrar los intentos de explotación de RCE de banda base en sus dispositivos Samsung Exynos deshabilitando las llamadas Wi-Fi y Voice-over-LTE (VoLTE) para eliminar el vector de ataque.
Además, Samsung ha confirmado la solución alternativa de Project Zero y ha sugerido que los usuarios pueden desactivar las llamadas WiFi y VoLTE para mitigar el impacto de esta vulnerabilidad.