Il team di esperti di Google Project Zero ha scoperto una serie di vulnerabilità critiche nei SoC Samsung Exynos utilizzati nei dispositivi Pixel 7, Pixel 6, in molti smartphone a marchio Samsung, in alcuni indossabili e in altri prodotti.
Nel complesso si tratta di 18 lacune di sicurezza che affliggono i chip Exynos: 4 di esse, tra cui quella con l’identificativo CVE-2023-24033, permettono a un utente remoto di eseguire codice malevolo sul dispositivo della vittima, semplicemente conoscendo il numero della SIM associata.
Google ritiene che i criminali informatici, con un impegno economico limitato e con uno sforzo relativamente contenuto, siano già in grado di sviluppare codice exploit funzionante per compromettere i dispositivi interessati a distanza, tra l’altro in modo silenzioso.
I tecnici di Google parlano di vulnerabilità “baseband remote code execution” perché si tratta di bug che, essendo presenti a livello di modem baseband, consentono a un aggressore di eseguire codice arbitrario a distanza, senza alcuna interazione da parte dell’utente e senza il suo consenso.
Il modem baseband è il componente hardware che gestisce la comunicazione tra il dispositivo dell’utente e la rete di telefonia mobile. Quando un dispositivo mobile riceve una chiamata o un messaggio, il modem baseband si occupa della ricezione e della decodifica dei segnali radio oltre che della loro elaborazione (per una successiva visualizzazione delle informazioni rilevanti sul display del terminale).
Vulnerabilità a livello di modem baseband sono molto pericolose perché il componente hardware opera ovviamente a un livello più basso del sistema operativo quindi la vittima può subire un attacco senza che si accorga di nulla.
Secondo Samsung i chip interessati dalla problematica sono i seguenti: Exynos Modem 5123, Exynos Modem 5300, Exynos 980, Exynos 1080 ed Exynos Auto T5123.
Da parte sua, Google ha stilato un elenco dei prodotti verosimilmente affetti dalle pericolose vulnerabilità di sicurezza:
- Smartphone Samsung Galaxy serie S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 e A04
- Smartphone Vivo serie S16, S15, S6, X70, X60 e X30
- Smartphone Google Pixel 6 e 6 Pro, Pixel 6a, Pixel 7 e 7 Pro
- Tutti i dispositivi indossabili che utilizzano il chip Exynos W920
- Tutti i veicoli che utilizzano il chip Exynos Auto T5123
Considerata la pericolosità della problematica in questione il team Project Zero ha deciso di fare un’eccezione e non pubblicare alcun dettaglio tecnico in modo da lasciare il tempo, alle aziende interessate e agli utenti, di applicare le patch correttive.
Fino a quando non saranno disponibili aggiornamenti di sicurezza, gli utenti che intendono proteggersi dalle vulnerabilità individuate nei chip Samsung Exynos possono disattivare le funzionalità WiFi Calling o VoWiFi (Voice over WiFi), sulla quale si sta spingendo molto anche in Italia, e VoLTE (Voice over LTE).
WiFi Calling permette di chiamare attraverso la rete mobile anche quando non c’è copertura di segnale mentre VoLTE consente di effettuare chiamate vocali di alta qualità utilizzando la rete dati. Con la funzionalità VoLTE, inoltre, la connessione dati rimane attiva durante la chiamata consentendo l’utilizzo di servizi dati ad alta velocità e l’effettuazione/ricezione di telefonate.
Quando è iniziato lo spegnimento della rete 3G in Italia gli operatori hanno infatti precisato che con i dispositivi 3G o 4G di prima generazione le chiamate e l’invio degli SMS sarebbero tornati sulla vecchia rete 2G.
Il consiglio di Google è quindi quello di disattivare con tempestività sia WiFi Calling che VoLTE fintanto che il produttore del proprio dispositivo non avrà rilasciato le patch.