В сообщении Google Project Zero говорится о том, что уязвимости были обнаружены в конце прошлого года в ходе исследования реальных атак, то есть они относятся к классу zero-day. Четыре самые серьезные уязвимости из 18 обнаруженных позволяют удаленно выполнять произвольный код на радиомодеме: для атаки требуется знать только номер телефона потенциальной жертвы. Исследователи имеют все основания предполагать, что проблем с дальнейшим развитием атаки не будет: через радиомодем можно удаленно и скрытно скомпрометировать все устройство. Выпуск патчей для ряда пострадавших устройств только начался, а в качестве временного решения проблемы предлагается отключить функции Wi-Fi Calling и VoLTE.
По понятным причинам все детали уязвимостей Google Project Zero не раскрывает. Более того, из четырех наиболее серьезных уязвимостей только одна в данный момент имеет идентификатор: . На сайте Samsung Semiconductor есть ее : речь идет об «отсутствии проверки форматирования атрибутов при обмене данными по протоколу Service Discovery Protocol». Всего Google Project Zero передала информацию о 18 уязвимостях. Для менее критичных указано, что их эксплуатация требует содействия в атаке со стороны сотового оператора либо физического доступа к устройству. Отсюда можно сделать вывод, что наиболее опасные проблемы не требуют ни того, ни другого. Это практически вся информация, которая известна на сегодняшний день.
Оценки опасности наиболее серьезной уязвимости CVE-2023-24033 разнятся: в базе данных MITRE это 7,5 баллов из 10, в базе National Vulnerability Database американского института NIST проблема оценена как критическая с рейтингом 9,8. Samsung Semiconductor выставил рейтинг в 8,6. Определение списка подверженных устройств также представляет проблему. Известен список пострадавших радиомодулей: Exynos Modem 5123, Exynos Modem 5300, Exynos Auto T5123. Также указаны два SoC Samsung — Exynos 980 и Exynos 1080, выпущенные соответственно в 2019 и 2020 годах. Это транслируется во внушительный список подверженных проблеме смартфонов Samsung (S22, M33, M13, M12, A71, A53, A33, A21s (но не обычный A21), A13, A12, A04). Исключением являются, например, смартфоны S22, выполненные на базе SoC Qualcomm.
Помимо этого, потенциально уязвимы смартфоны Vivo (S16, S15, S6, X70, X60, X30) и устройства Google Pixel шестой и седьмой серии. Для устройств Google патч, закрывающий самую серьезную уязвимость CVE-2023-24033, уже выпущен в составе мартовского обновления безопасности. Так как большинство пострадавших смартфонов выпущены недавно, скорее всего, патчи будут доступны и для них. Отдельный вопрос — с другими устройствами, например автомобильными мультимедийными системами с радиомодулем. Патчи для них могут быть и вовсе не выпущены, а пользователю зачастую недоступны никакие настройки сотовой связи. Владелец авто может даже не знать, что у него в машине установлена SIM-карта, так как она предоставляется производителем. Опасность этой ситуации для встраиваемых систем еще предстоит изучить.
Радиомодули в смартфонах всегда оценивались в теории как сложные устройства с точки зрения безопасности. Со стороны пользователя они представляют собой черный ящик со своей операционной системой, который при этом имеет максимальные привилегии. Судя по всему, мы имеем дело с практическим примером угроз со стороны сотового модема. Информации пока немного (и не факт, что мы узнаем больше), но речь явно идет об очень серьезной проблеме, позволяющей с комфортом шпионить за владельцем смартфона. К счастью, пользователь может самостоятельно принять меры для нейтрализации угрозы, отключив удобную, но не критичную функциональность.
Что еще произошло:
Интересная публикация «Лаборатории Касперского» о распространении вредоносных программ через рекламную сеть Google. То, что там иногда попадаются ссылки на вредоносные сайты, особенно при поиске популярных программ, — вообще не новость, но в статье разбирается конкретный пример с подробным анализом применяемого ПО. Интересный момент: для сокрытия вредоносного кода используется стеганография, он спрятан в картинках.
В мартовском обновлении для смартфонов Google Pixel также была уязвимость, получившая никнейм aCropalypse: оказывается, встроенный графический редактор не удаляет оригинальное изображение, а записывает его в отредактированный файл. То есть, например, вы можете сфотографировать кредитную карту, замазать часть цифр для приватности, отправить картинку, а получатель имеет возможность восстановить из нее исходную фотографию. Это действительно серьезная проблема, так как никакой патч не исправит предыдущие изображения, если они уже были опубликованы.
На прошлой неделе также был выпущен набор патчей для продуктов Microsoft. Помимо прочего, он уже эксплуатируемую уязвимость в почтовом клиенте Microsoft Outlook.
