谷歌提醒人们注意三星 Exynos 芯片中的一系列严重安全漏洞,其中一些漏洞可以被远程利用,在不需要任何用户交互的情况下完全破坏手机。
这 18 个零日漏洞影响范围广泛的 Android 智能手机,包括三星、Vivo、谷歌、使用 Exynos W920 芯片组的可穿戴设备以及配备 Exynos Auto T5123 芯片组的车辆。
18 个缺陷中的 4 个使威胁行为者有可能在 2022 年底和 2023 年初实现互联网到三星、Vivo 和谷歌,以及使用 Exynos W920 芯片组和车辆的可穿戴设备。
“[这] 四个漏洞允许攻击者在没有用户交互的情况下在基带级别远程破坏手机,并且只需要攻击者知道受害者的电话号码,”谷歌零项目负责人蒂姆威利斯说。
这样做,威胁行为者可以获得对传入和传出目标设备的蜂窝信息的根深蒂固的访问权限。有关错误的更多详细信息已被保留。
这些攻击听起来执行起来令人望而却步,但恰恰相反,熟练的攻击者很容易触手可及,他们可以快速设计出可操作的漏洞,“悄无声息地远程”破坏受影响的设备。
其余 14 个漏洞据说没有那么严重,因为它需要流氓移动网络内部人员或具有设备本地访问权限的攻击者。
虽然 Pixel 6 和 7 手机已经在 2023 年 3 月的安全更新中收到了修复程序,但其他设备的补丁预计会根据制造商的时间表而有所不同。
在此之前,建议用户在其设备设置中关闭 Wi-Fi 通话和 LTE 语音 (VoLTE),以“消除这些漏洞的利用风险”。
