Google mantiene activo un equipo dedicado a encontrar vulnerabilidades en todo tipo de dispositivos, el Proyecto Cero, y ahora ha anunciado que ha encontrado dieciocho vulnerabilidades en los procesadores Exynos. Son fallos de día cero, por lo que eran desconocidos para la compañía afectada antes de descubrirlos y que todavía no han sido solucionadas. Por eso Google ha sido bastante parca en detalles a la hora de hablar de algunas de estas vulnerabilidades, las más graves.
Esas son cuatro que permiten ejecución remota de código en un móvil con solo conocer el número de teléfono ya que ataque al chip de banda base del dispositivo. Es el encargado de conectar el móvil a la red y por tanto cualquier vulnerabilidad que pueda afectarle tiende a ser muy grave. Desde el Proyecto Cero alegan que un jáquer experimentado podría usar estas y otras vulnerabilidades para atacar un dispositivo de manera silenciosa. Solo una tiene código por ahora, el CVE-2023-24033, y las otras tres están pendiente de que se les asigne uno.
Google ha indicado que las otras catorce vulnerabilidades, seis tienen código (CVE-2023-26072, CVE-2023-26073, CVE-2023-26074, CVE-2023-26075, CVE-2023-26076) y el resto están pendientes de serles asignado uno. No son vulnerabilidades graves ya que el ataque lo tendría que hacer la propia operadora o alguien con acceso local al dispositivo. De estos han publicado la información completa porque han pasado 90 días desde que se lo notificaran a Samsung sin haber sido solucionados.
Los dispositivos afectados son diversos móviles de Samsung (S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 y A04), los de Vivo (S16, S15, S6, X70, X60 y X30), los Pixel 6 y 7 de Google, y cualquier vehículo con un Exynos Auto T5123. Google ya ha parcheado algunas versiones de sus teléfonos en el último parche de Android de marzo.
Vía: TechPowerUp.