Google советует пользователям Android принять меры после обнаружения 18 уязвимостей нулевого дня в популярных телефонах

Google выпустила предупреждение для пользователей некоторых телефонов после того, как команда аналитиков безопасности Project Zero сообщила о восемнадцати уязвимостях нулевого дня в модемах Exynos производства Samsung.


Глава Google Project Zero Тим Уиллис написал, что четыре наиболее серьезные из восемнадцати уязвимостей позволяют злоумышленнику удаленно скомпрометировать телефон без взаимодействия с пользователем. Для компрометации уязвимого устройства злоумышленнику достаточно знать номер телефона жертвы.

Хакер, использующий одну из уязвимостей, получит полный доступ ко всем данным, которые передаются на устройство и с него, включая звонки, текстовые сообщения и мобильные данные. Уиллис пишет, что опытные злоумышленники могут быстро создать оперативный эксплойт для бесшумной и удаленной компрометации уязвимых устройств.

Остальные 14 уязвимостей были не такими серьезными, поскольку требовали либо злонамеренного оператора мобильной сети, либо злоумышленника с локальным доступом к устройству.

Google перечислил некоторые устройства с чипсетами Exynos, которые, подвержены уязвимостям:

• Мобильные устройства Samsung, в том числе серии S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04.
  
• Мобильные устройства Vivo, в том числе серии S16, S15, S6, X70, X60 и X30.
  
• Серии устройств Pixel 6 и Pixel 7 от Google
  
• Любые носимые устройства, использующие чипсет Exynos W920 (включая Galaxy Watch 4 и 5)
  

Хорошей новостью для владельцев затронутых устройств Pixel является то, что они уже были исправлены в обновлении безопасности за март 2023 года. Исследователь Project Zero Мэдди Стоун написала в Твиттере, что, несмотря на то, что у Samsung было 90 дней на исправление уязвимостей, Samsung до сих пор этого не сделала.


— Мэдди Стоун (@maddiestone).

Для владельцев телефонов, которые еще не исправлены, Google рекомендует отключить вызовы Wi-Fi и передачу голоса по LTE (VoLTE) в настройках устройства, чтобы исключить риск эксплуатации этих уязвимостей.