A mai mobiltelefonok számtalan biztonsági rést rejtenek, ezt tényként ki lehet jelenteni. Azonban a gyártók folyamatosan dolgoznak a készülékek megbízhatóságának a javításán. Vannak azonban olyan esetek, amikor valamilyen oknál fogva ez nem megy túl flottul, és ilyen a mostani is, melynek keretében számos Exynos chipes eszköznél bukkantak súlyos sebezhetőségre.
A Google biztonsági csapata találta a hibát, amit a Samsungnak továbbított is, de a dél-koreaiak nem igazán igyekeznek a javítással.
A biztonsági hibákat a különböző kutatók mindig a gyártóval osztják meg elsőként, hogy a vállalat el tudja készíteni a javítást. Hogy ezt követően nyilvánosságra hozzák-e az ügyet, az már igazából az érintetteken múlik. A Project Zero biztonsági csapat azonban most máshogy járt el, még nem javított sebezhetőségekről számolt be, méghozzá azért, mert a Samsung látszólag nem dolgozik azon, hogy a sérülékenységet felszámolja.
Nagyon súlyos nulladik napi sebezhetőségről van itt szó, ami rengeteg eszközt érint. Összesen 18 sebezhetőségről tesz említést a Project Zero csapatot vezető Tim Willis a beszámolójában. Ezek között négy a lehető legmagasabb prioritású besorolást kapta, mivel ezek lehetőséget biztosíthatnak arra, hogy távolról átvegyék az irányítást az eszközök felett. A hálózati modemeket érintik a hibák, és a keresőóriás biztonsági szakembere azt javasolja az érintett eszközöket használóknak, hogy tiltsák le a mobilokon a VoLTE és a VoWiFi lehetőségeket.
A nagy nyilvánosságnak azt nem részletezte Tim Willis, hogy miként lehet ezeket a hibákat kihasználni, de elmondta, hogy milyen jellegű a probléma. A szakemberek vizsgálatai arra jutottak, hogy elég a támadónak ismernie az áldozata telefonszámát, és képes lehet arra, hogy távolról káros kódokat futtasson az Exynos chipes készüléken. A VoLTE és a VoWiFi-t kihasználva tud adatokat juttatni a hacker a sebezhető eszközre. A betörésnek semmi jelét nem fogja észlelni a felhasználó, miközben a támadó távolról további műveleteket hajthat végre a háttérben.
A 18 sérülékenységből a fennmaradó négy már kevésbé durva, de nyilván ezekkel is foglalkoznia kellene a Samsungnak. Ezek veszélyesek lehetnek kisebb mértékben a mobilhálózatok üzemeltetőjére is, és van olyan hiba, ami csak a készülékhez való közvetlen hozzáférés esetén veszélyes. De a Samsungnak minden jelzett sebezhetőséggel foglalkoznia kellene.
Több mint 90 nap telt el azóta, hogy a Project Zero csapat felvette a kapcsolatot a Samsunggal, és részletes dokumentációkat adtak a hibákról. A nulladik napi sebezhetőségek ráadásul nem mostanában kerültek az eszközökbe, az eredmények alapján ezek legalább 180 napja ott vannak az összes érintett eszközben javítás nélkül. Az Exynos rendszerchipeknek egyébként sincs túl jó híre, és nagyon úgy fest, hogy a dél-koreaiakat ez nem különösebben érdekli.
Nemcsak okostelefonok vannak kitéve a sebezhetőségnek, hanem viselhető kiegészítők és akár autók is.
Ismereteink szerint a Samsung Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12, és A04 modellek között kiviteltől függően lehetnek érintett készülékek, továbbá a Vivo kínálatában sebezhető az S16, S15, S6, X70, X60 és az X30 széria exynosos tagja. Érintett a Galaxy Watch4 és a Watch5 sorozat is az Exynos W920 révén, továbbá a személyautókba szánt Exynos Auto T5123 lapkánál is fennállnak a sebezhetőségek.
A Google-nek pedig azért érdekes ez, mert a Pixel 6 és a Pixel 7 szériák összes tagjában Samsung lapka van, és bizony ezeknél is fennáll a sebezhetőség. A Tensor rendszerchipek ugyanis a Samsunggal közös tervezések, és a hálózati komponenseket teljes egészében a dél-koreai partner biztosítja a lapkák számára.