Google 在三星 Exynos 晶片發現 18 個零時差漏洞，Galaxy S22、Pixel 7 多款手機受影響

更新日期：2023 年 3 月 18 日

Google Project Zero 團隊近日公開了他們在三星 Exynos 晶片發現 18 個零時差漏洞，這些漏洞影響了多款採用該晶片的手機、穿戴裝置和汽車，其中 4 個最嚴重的漏洞可能讓駭客遠端攻擊使用者的設備。

延伸閱讀：Google Pixel 8 渲染圖曝光，6.2吋螢幕與窄邊框

Google 在三星 Exynos 晶片發現 18 個零時差漏洞

根據 Project Zero 團隊的報告，這些漏洞都存在於三星生產的 Exynos 數據晶片上，該數據晶片負責處理網路通訊和基頻信號，該團隊在 2022 年底至 2023 年初期間發現了這些漏洞，並及時通知了三星和其他受影響的廠商。

其中最嚴重的 4 個漏洞（CVE-2023-24033、CVE-2023-24034、CVE-2023-24035和CVE-2023-24036）都屬於遠端程式執行（RCE）類型，意味著駭客可以在不需要使用者互動的情況下，在目標設備上執行任意程式碼，Project Zero團隊表示，這些漏洞可以通過簡單地撥打一個電話或發送一個簡訊來觸發，而且不會留下任何痕跡。

另外 14 個較不嚴重的漏洞則需要一些額外的條件才能被利用，例如要有惡意的行動營運商或者是駭客必須實際存取裝置，這些漏洞主要涉及到服務阻斷（DoS）、資訊外洩（Info Leak）和權限提升（Privilege Escalation）等問題。

Project Zero團隊表示，他們已經對這些漏洞進行了測試和驗證，並發現它們影響了數十款 Exynos 晶片 ，使用這些晶片的設備包括：

• 三星：Galaxy S22、M33、M13、M12、A71、A53、A33、A21s、A13、A12 和 A04 系列
• Google：Pixel 6 和 Pixel 7系列
• Vivo：S16、S15、S6、X70、X60 和 X30系列
• 採用Exynos W920晶片組的穿戴裝置
• 使用Exynos Auto T5123 晶片組的汽車

Google 已在本周展開的 3 月安全更新中修補了 Pixel 手機的 CVE-2023-24033 漏洞 ，而三星也表示已經針對漏洞提供所有客戶修復版本。，不過，由於各家業者修補漏洞的時間點不同，Project Zero 團隊建議，擁有相關裝置的使用者可於設定中暫時關閉 Wi-Fi 通話（Wi-Fi calling）及 Voice-over-LTE（VoLTE）功能，以避免遭到攻擊。

資料來源：

• Google found 18 zero-day issues with Samsung’s Exynos modems that could affect many phones – Neowin
• Project Zero: Multiple Internet to Baseband Remote Code Execution Vulnerabilities in Exynos Modems (googleprojectzero.blogspot.com)