Project Zero, tim pemburu bug zero-day Google, menemukan dan melaporkan 18 kerentanan baseband zero-day di chipset Samsung Exynos yang digunakan di perangkat seluler, perangkat yang dapat dikenakan, dan mobil.
Kelemahan keamanan modem Exynos dilaporkan antara akhir 2022 dan awal 2023. Empat dari delapan belas zero-days diidentifikasi sebagai yang paling serius, memungkinkan eksekusi kode jarak jauh dari Internet ke baseband.
Bug Internet-to-baseband remote code execution (RCE) ini (termasuk CVE-2023-24033 dan tiga lainnya masih menunggu CVE-ID) memungkinkan penyerang meretas ponsel di tingkat baseband dari jarak jauh dan tanpa interaksi pengguna.
“Perangkat lunak baseband tidak memeriksa dengan benar jenis format dari atribut tipe-terima yang ditentukan oleh SDP, yang dapat menyebabkan penolakan layanan atau eksekusi kode di Modem Baseband Samsung,” Samsung kata dalam penasihat keamanan yang menjelaskan kerentanan CVE-2023-24033.
Satu-satunya informasi yang diperlukan agar serangan dapat ditarik adalah nomor telepon korban, menurut Tim WillisKepala Proyek Zero.
Lebih buruk lagi, dengan penelitian tambahan minimal, penyerang berpengalaman dapat dengan mudah membuat eksploit yang mampu membahayakan perangkat yang rentan dari jarak jauh tanpa memicu perhatian target.
Empat belas kerentanan terkait lainnya (CVE-2023-24072, CVE-2023-24073, CVE-2023-24074, CVE-2023-24075, CVE-2023-24076 dan sembilan kerentanan lain yang belum ditetapkan CVE-ID) tidak separah itu, karena memerlukan operator jaringan seluler jahat atau penyerang dengan akses lokal ke perangkat,” Willis dikatakan.
Berdasarkan daftar chipset yang terpengaruh yang disediakan oleh Samsung, daftar perangkat yang terpengaruh termasuk namun kemungkinan tidak terbatas pada:
- Perangkat seluler dari Samsung, termasuk dalam seri S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 dan A04;
- Perangkat seluler dari Vivo, termasuk seri S16, S15, S6, X70, X60, dan X30;
- Seri perangkat Pixel 6 dan Pixel 7 dari Google;
- perangkat yang dapat dikenakan yang menggunakan chipset Exynos W920; Dan
- kendaraan apa pun yang menggunakan chipset Exynos Auto T5123.
Solusi tersedia untuk perangkat yang terpengaruh
Meskipun Samsung telah menyediakan pembaruan keamanan untuk mengatasi kerentanan ini pada chipset yang terpengaruh ke vendor lain, tambalan tersebut tidak bersifat publik dan tidak dapat diterapkan oleh semua pengguna yang terpengaruh.
Jadwal patch setiap produsen untuk perangkat mereka akan berbeda, tetapi, misalnya, Google telah membahas CVE-2023-24033 untuk perangkat Pixel yang terpengaruh dalam pembaruan keamanan Maret 2023.
Namun, hingga tambalan tersedia, pengguna dapat menggagalkan upaya eksploitasi RCE baseband yang menargetkan chipset Exynos Samsung di perangkat mereka dengan menonaktifkan panggilan Wi-Fi dan Voice-over-LTE (VoLTE) untuk menghapus vektor serangan.
Samsung juga mengonfirmasi solusi Project Zero, dengan mengatakan bahwa “pengguna dapat menonaktifkan panggilan WiFi dan VoLTE untuk mengurangi dampak dari kerentanan ini.”
“Seperti biasa, kami mendorong pengguna akhir untuk memperbarui perangkat mereka sesegera mungkin, untuk memastikan bahwa mereka menjalankan build terbaru yang memperbaiki kerentanan keamanan yang diungkapkan dan dirahasiakan,” tambah Willis.
