Команда Google – одна из крупнейших технологических компаний в мире, основанная в 1998 году в США. Основной продукт компании – поисковая система Google, которая позволяет находить информацию в интернете. Компания также разрабатывает множество других продуктов, таких как электронная почта Gmail, видеохостинг YouTube, карты Google Maps и операционную систему Android для мобильных устройств. Google является одним из лидеров в области искусственного интеллекта и облачных вычислений. Компания занимает высокие позиции в рейтингах лучших работодателей в мире.
» data-html=»true» data-original-title=»Google»>Google по поиску ошибок нулевого дня Project Zero обнаружила
18 0-day уязвимостей в чипсетах Samsung Exynos , используемых в популярных смартфонах, носимых устройствах и автомобилях.
О недостатках безопасности Exynos сообщалось в период с конца 2022 по начало 2023 года. Некоторые из них не исправлены с декабря 2022 года.
По словам главы Project Zero Тима Уиллиса, единственной информацией, необходимой для проведения атак, является номер телефона жертвы. Что еще хуже, с минимальными дополнительными усилиями опытный хакер может легко создать эксплойт, способный удаленно скомпрометировать уязвимые устройства, не привлекая внимания жертв.
4 из 18 нулевых дней были определены как критические Remote Code Execution (RCE) — это критическая уязвимость, которая позволяет злоумышленнику дистанционно запустить вредоносный код в целевой системе по локальной сети или через Интернет. При этом физический доступ к устройству не требуется.
В результате эксплуатации RCE-уязвимости киберпреступник может перехватить управление системой или ее отдельными компонентами, а также похитить конфиденциальные данные.
» data-html=»true» data-original-title=»RCE»>RCE-уязвимости, которые позволяют удаленно выполнять код на устройстве. Другие 14 уязвимости не являются критичными, но всё же представляют риск. Для успешной эксплуатации требуется локальный доступ или злонамеренный оператор мобильной связи.
Список затронутых устройств включает:
- Смартфоны Samsung серии S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 и A04;
- Мобильные устройства Vivo серии S16, S15, S6, X70, X60 и X30;
- Серия устройств Google Pixel 6 и 6 Pro, Pixel 6a, Pixel 7 и 7 Pro;
- любые носимые устройства на чипсете Exynos W920;
- любые автомобили, использующие чипсет Exynos Auto T5123.
Хотя Samsung уже предоставила другим поставщикам исправления, они не являются общедоступными и не могут быть применены всеми затронутыми пользователями.
На данный момент только Google исправил уязвимость (CVE-2023-24033) для затронутых устройств Pixel в своих обновлениях безопасности за март 2023 года. Другие производители будут выпускать обновления по мере готовности. До тех пор, пока исправления не будут доступны, пользователям рекомендуется отключить функции вызовы по Wi-Fi и VoLTE для устранения вектора атаки.