Telefoanele cu Android, afectate de vulnerabilităţi critice care permit unui atacator să compromită de la distanţă un telefon, fără interacţiune cu utilizatorul

smartphone, android, mobil, telefon Sursa foto: Pexels

Directoratul Naţional de Securitate Cibernetică avertizează, vineri, asupra unor vulnerabilităţi critice care afectează dispozitive mobile cu sistem de operare Android. Cele mai grave patru vulnerabilităţi permit unui atacator să compromită de la distanţă un telefon, fără nicio interacţiune cu utilizatorul, dacă cunoaşte numărul de telefon, scrie News.ro.

„La sfârşitul anului 2022 şi începutul anului 2023, Project Zero a raportat optsprezece vulnerabilităţi 0-day în modem-urile Exynos produse de Samsung Semiconductor. Din testele efectuate de Project Zero, cele mai grave patru vulnerabilităţi (CVE-2023-24033CVE-2023-26496CVE-2023-26497 şi CVE-2023-26498) permit unui atacator să compromită de la distanţă un telefon, fără nicio interacţiune cu utilizatorul, şi necesită doar ca atacatorul să cunoască numărul de telefon al victimei. Cercetătorii sunt de părere că atacatori calificaţi ar putea crea rapid un exploit operaţional pentru a compromite dispozitivele afectate”, a transmis, vineri, DNSC, într-un comunicat de presă.

Sursa citată a precizat că celelalte paisprezece vulnerabilităţi conexe (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076 şi alte nouă vulnerabilităţi cărora nu li s-au atribuit încă ID-uri CVE) nu sunt la fel de grave, deoarece acestea necesită posibilitatea ca un operator de reţea mobilă să fie rău intenţionat, fie ca un atacator să aibă cu acces local la dispozitiv.

„Anunţurile Samsung Semiconductor oferă lista chipseturilor Exynos care sunt afectate de aceste vulnerabilităţi”, au mai transmis specialiştii.

Potrivit acestora, pe baza informaţiilor de pe site-urile web publice, care cartografiază chipseturile cu dispozitivele, produsele afectate includ probabil:

  • Dispozitive mobile de la Samsung, inclusiv cele din seriile S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 şi A04;
  • Dispozitive mobile de la Vivo, inclusiv cele din seriile S16, S15, S6, X70, X60 şi X30;
  • Dispozitivele din seriile Pixel 6 şi Pixel 7 de la Google; şi orice vehicule care utilizează chipset-ul Exynos Auto T5123.

„Este de aşteptat ca termenele de aplicare a patch-urilor să varieze în funcţie de producător. De exemplu, dispozitivele Pixel afectate au primit un patch de remediere pentru toate cele patru vulnerabilităţi în actualizarea de securitate din martie 2023. Între timp, utilizatorii cu dispozitive afectate se pot proteja de vulnerabilităţi prin dezactivarea apelurilor Wi-Fi şi a apelurilor de voce prin LTE (VoLTE) în setările dispozitivului, deşi posibilitatea de a modifica această setare poate depinde de operatorul dvs. de telefonie.Utilizatorii sunt încurajaţi să îşi actualizeze dispozitivele cât mai curând posibil, pentru a se asigura că rulează cele mai recente versiuni care rezolvă atât vulnerabilităţile de securitate dezvăluite, cât şi cele nedezvăluite”, au mai transmis specialiştii DNSC.

Potrivit acestora, cercetătorii publică informaţii despre vulnerabilităţile de securitate documentate la o anumită perioadă de timp după ce le raportează unui furnizor de software sau hardware.

„În unele cazuri rare, în care echipa a apreciat că atacatorii ar beneficia semnificativ mai mult decât cei care ar trebui să de protejeze de aceste vulnerabilităţi, dacă o vulnerabilitate ar fi dezvăluită, aceştia au făcut o excepţie de la politică şi au amânat divulgarea. Datorită unei combinaţii foarte rare a nivelului de acces pe care îl oferă aceste vulnerabilităţi şi a vitezei cu care ar putea fi creat un exploit operaţional fiabil, Project Zero a decis să facă o excepţie de politică pentru a amâna divulgarea celor patru vulnerabilităţi care permit executarea de cod de la distanţă”, a mai precizat DNSC.

Urmărește mai jos producțiile video ale Economedia:

Comentarii

  1. Ganditi-va ca tot ce n-are ‘martie 2023’ le are pe toate celelalte. 😉 Start to count.

    Oricum, cat de prost sa fii sa suni pe WIFI cand deja platesti SIM-ul ? (ca altfel nu merge..)

    Cele mai mari ‘CVE’-uri sunt toate aplicatiile care au acces la senzori ‘by default’ (toate). Tot ce-i encriptat poate fi decriptat in functie de ‘entropie’, deci tot ce-i ‘securitate’ e o mare cacealma, in special pt. Android default.

    Ati observat ca 99.999% din patch-uri nu spun vreodata ‘change log’ ?

    E free for all cu zerg-ii. Da’ ce mai conteaza. De ce sa platesti cu telefonul cand cu card-ul e fix acelasi drac ?

    Multe roti reinventate … Intotdeauna mai patrate … De la Lisp incoace …

    Apropo, as fi avut si eu pretentii de la Google sa vina c-o descriere pt. toate sutele de programele ‘de sistem’ care au acces la toate, in special la ‘networking’, dar nu stie nici drq. ce fac.. (nu mai vorbim de Microsoft SpywareOS, ca acolo-i Dante’s Inferno Deepest Layer)

    Ce-o fi asa de greu sa vina toate sistemele de operare c-un firewall ‘deny all’ by default ? (mergea candva pe XP.. fara ‘SP’)

    Altfel spus, sunteti la mila americanilor, ruleta ruseasca.

    Invatati IT inainte sa puneti mana pe tehnologie.

  2. P.P.S. : E mult mai grav decat in primul comentariu(1/3) dar nu-mi bat capul. Oricum, nu stiu, nu-s de aici.

  3. P.P.P.S. : Toate aceste ‘vulnerabilitati’ nu reprezinta decat moduri legale de a va supraveghea in permanenta in era ‘Surveillance Capitalism’ (va recomand cartea).

    “A fost Zero Day, domne’ !”

    Un software dezvoltat corect matematic, n-are asa ceva.

    Din pacate, nu mai exista de decenii. Prea multe ‘features’ scrise in limbaje ‘memory unsafe’. Java si C++ sunt greseli istorice extrem de greu de corectat.

    Bine, exista o minuscula sansa sa puneti GPT4 sa rescrie toate librariile in Zig, Rust, Lisp, dar probabil mai asteptam pana la GPT5 pt. asa ceva …

    In general, e mult cod care se repeta. Ar trebui sortate toate librariile in functie de structurile de date folosite…

    Oricum, si Android si iOS sunt ‘SpywareOS’ dar pe cel de la Microsoft nu-l intrece nimeni. (aveau back-door-uri pt. NSA inca din ’97)

    Cei cu ‘nothing to hide’ = ‘nothing to say’.

Comments are closed.

Comentarii

Pentru a posta un comentariu, trebuie să te Înregistrezi sau să te Autentifici.