In una recente scoperta, Project Zero di Google ha individuato un totale di 18 vulnerabilità 0-day che riguardano i modem Exynos. Tra queste, quattro, come la CVE-2023-24033, consentono a un hacker di compromettere in modo silenzioso e da remoto uno smartphone, avendo a disposizione solamente il numero di telefono dell’utente bersaglio.
Secondo gli esperti, gli attaccanti potrebbero velocemente sviluppare un exploit per prendere di mira i dispositivi vulnerabili in maniera indisturbata e a distanza. Per quanto riguarda le altre 14 vulnerabilità, Google le considera meno critiche, in quanto richiedono un operatore di rete mobile malintenzionato oppure un accesso fisico al dispositivo da parte dell’aggressore.
Tra gli smartphone dotati di modem Exynos interessati alle vulnerabilità si trovano:
- Samsung: Galaxy S22 (Plus e Ultra), M33, M13, M12, A71 5G, A53, A33, A21s, A13, A12, A04s
- vivo: S16e, S15e, S6, X70 Pro, X60 (Pro), X30 (Pro)
- Google: Pixel 6 (Pro, 6a), Pixel 7 (Pro)
Dispositivi indossabili con Exynos W920 e veicoli con Exynos Auto T5123 sono anch’essi coinvolti.
Per quanto riguarda i modelli Google Pixel 7 e 7 Pro, la CVE-2023-24033 è stata già corretta grazie alle patch di marzo. Tuttavia, i dispositivi Pixel 6, 6 Pro e 6a sono ancora esposti, in quanto non hanno ancora ricevuto gli aggiornamenti di sicurezza più recenti. L’implementazione degli aggiornamenti per gli altri dispositivi varia a seconda del produttore. Fino al ricevimento dell’aggiornamento, Google consiglia di disabilitare le chiamate WiFi e VoLTE.